공개된 웹 상에서의 개인정보 유출 사고, 지속적으로 발생
[보안뉴스 원병철 기자] 사용자가 ‘악성파일’인지 확인하기 위해 사용하는 ‘웹 기반 샌드박스 분석 플랫폼’에서 다수의 개인정보가 유출된 정황이 포착됐다. 특히, 글로벌 사이트임에도 불구하고 유출된 자료에는 한국인 자료가 다수 포함된 것으로 알려졌다.
▲유출된 한국인 개인정보들. 경찰 공무원증과 군경력확인서에는 이름과 소속, 연락처와 이메일은 물론 생년월일과 주민등록번호까지 포함됐다[자료=순천향대 SCH사이버보안연구센터]
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 웹 기반 샌드박스 분석 플랫폼 사이트 A(이하 ‘A 플랫폼’)에서 민감한 개인정보가 포함된 파일이 다수 유출된 정황이 포착됐다고 밝혔다. A 플랫폼은 사용자가 업로드한 파일에 대한 악성유무의 분석결과를 알려준다. 분석결과는 Public으로 공개되어 플랫폼을 이용하는 사람들이 모두 열람할 수 있으며, 샘플을 다운로드 할 수도 있다.
예를 들면, 기업의 인사과에서 일하는 B씨는 사내 보안교육을 통해 의심스런 이메일의 첨부파일을 잘못 열 경우 악석코드에 감염될 수 있다는 것을 알고 난 후, 이력서를 받으면 무조건 A 플랫폼에 업로드해 악성 여부를 검사한다. 그런데 A 플랫폼은 이 업로드한 파일을 다른 사용자에게 ‘샘플’이라며 다운로드 받을 수 있게 한 것이다. 물론 이 샘플은 악성파일일 수도 있지만, 실제 이력서일 수도 있다. 이번에 발견된 개인정보 파일이 바로 이러한 경우다.
이번에 발견한 민감정보가 포함된 문서는 이력서, 견적서, 공무원증, 등록금 영수증, 청구서, 판결문, 공문 등 다양했다. 유출된 문서 일부에는 이름, 주민등록번호, 휴대폰 번호, 학력 등 개인을 식별할 수 있는 정보들이 포함되어 있었다. 이러한 문서들이 업로드된 날짜는 2018년부터 최근까지도 꾸준히 업로드됐으며, 굉장히 오랫동안 방치돼 왔던 것으로 드러났다.
유출된 정보들은 도용 및 피싱 공격과 같이 악용되어 2차 피해를 유발할 수 있으며, 이미 2차 피해가 발생했을 가능성이 농후하다. 과거 발생했던 바이러스토탈(VirusTotal)에서의 정보 유출 사고와 유사한 과정으로 유출됐으나, 바이러스토탈의 경우 유료 회원에게만 샘플 다운로드 권한이 있지만, A 플랫폼은 회원가입만 한다면 모든 분석결과를 열람하고 샘플을 다운로드할 수 있다.
개인정보가 유출되는 과정은 다음과 같다.
① 사용자는 파일의 악성 여부를 판단하기 위해, A 플랫폼과 같은 서비스를 이용하여 개인정보가 포함된 파일을 업로드한다.
② 분석 서버에서 분석한 결과와 샘플에 대한 정보를 반환해준다.
③ 회원가입만 한다면 업로드된 샘플을 다운로드하고 분석결과를 열람할 수 있다.
SCH사이버보안연구센터에 따르면, 현재까지 발견한 개인정보가 포함된 분석결과들은 A 플랫폼 측에 삭제요청을 해 삭제가 된 상태다. SCH사이버보안연구센터 차현석 연구생은 “악성코드 샘플 공유 사이트에서 개인정보가 유출된 사고는 이번이 처음이 아니”라며, “플랫폼의 정책에 따라 다르겠지만, 대부분의 웹 기반 악성코드 분석 플랫폼의 경우 업로드한 파일이 모든 사람들에게 공개된다는 점을 명백히 인지해야 하며, 분석 목적이 아니더라도 개인정보가 포함된 파일을 외부에 업로드할 땐 주의를 기울여야 한다”고 조언했다. 또한, 그는 “분석 플랫폼을 운영하는 입장에선, 업로드된 파일에 민감한 정보가 포함되어 있는지, 이를 검증하는 로직이 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>