대형 하드웨어 업체 한미마이크로닉스의 고객 게시판을 통해 전화번호가 일부 노출되는 일이 발생했다. 공격자들이 이를 어떻게 활용하냐에 따라 위험해질 수 있는 사건이지만, 다행히 현재는 게시판이 닫혀 문제가 더 확산되지는 않고 있는 것으로 보인다.
[보안뉴스 문가용 기자] 컴퓨터 장비 전문 업체인 한미마이크로닉스에서 개인정보 일부가 노출되는 사고가 발생했다. 이를 제일 처음 발견한 사용자는 해당 사실을 인터넷 커뮤니티 게시판에 알려 잠재적 피해자들에게 알렸고, 회사 측은 문제가 되는 기능을 임시로 차단함으로써 사건이 악화되는 걸 일단락시켰다.
마이크로닉스 게시판 공지[이미지=보안뉴스]
제보가 제일 처음 커뮤니티에 올라온 것은 7월 6일이었다. “한미마이크로닉스 고객 문의 게시판에 글을 남긴 적이 있다면 전부 삭제하라”는 내용이었다. 게시글을 지우지 않고 그대로 둘 경우 검색 포털을 통해 개인정보인 전화번호가 검색된다는 것이었다. “보안이 안 되는 게시판 글들은 검색 포털에 고스란히 노출이 되고 있는 상황”이라는 해당 게시글 작성자는 심지어 “게시글 번호를 유추해 입력하면 비밀번호가 걸려 있는 게시글도 볼 수 있다”고 주장했다.
한미마이크로닉스도 이 소식을 접하고 사실 확인 작업에 들어갔다. 다만 원 제보자가 최초로 회사 측에 연락을 한 날은 7월 5일이었고, 7월 6일 점심까지 문제 처리가 되지 않고 있었다. 제보자는 7월 6일 점심 즈음 다시 한 번 회사에 연락해 사실을 알렸다고 한다. 이는 양측의 주장이 일치하는 부분이다. 제보자는 “그럼에도 회사에서 대응을 하지 않아서 커뮤니티를 통해 공론화를 했다”고 하고, 회사는 “접수를 받은 고객 서비스 부서와 웹사이트 운영 담당 부서 간 소통에 약간의 지연이 있었던 건 사실이나, 문제를 확인하고 있던 중이었지 무시하던 것은 아니”라고 설명하고 있다.
현재 한미마이크로닉스는 문제가 되고 있는 고객 문의 게시판을 닫고 사과 공지문을 올린 상태다. 문의 업무는 전화와 메일로 대신 하고 있다. 현재 정확한 피해 규모와 사고의 원인을 파악하고 있다고 하며, 그렇기에 언제쯤 다시 게시판이 복구될 지는 정확히 알 수 없다고 한다. 또한 “전화번호가 검색을 통해 노출된 건 사실이나 개인을 특정할 수 있는 수준의 정보가 노출된 건 아니”라고 설명하기도 했다. “현재 게시판의 보완 및 강화 방법에 대해 여러 가지로 논의가 이뤄지고 있습니다.”
간과할 수 없는 해커들의 정보 조합 능력
해킹 공격이 하루에도 수도 없이 일어나고 새로운 공격 기법들이 매일 쏟아지는 때이지만, 최초 공격은 거의 항상 피싱 혹은 소셜 엔지니어링 기법으로 구성된다. 또한, 특정 인물을 표적으로 하는 스피어피싱 공격 역시 날이 갈수록 예리해지고 있다. 전문가들 사이에서는 오래 전부터 해킹 공격자들이 컴퓨터와 장비만이 아니라 사람의 심리마저 잘 유린하는 자들이라는 설명도 나오고 있는 상황이다.
실제 최근 사이버 공격자들은 사소하게 보이는 정보들을 조합하고 추적하여 자신이 공격하고자 하는 단체나 인물에 대한 숨겨진 통찰을 이끌어내는 데에 능숙하며, 이를 통해 당하는 사람은 속을 수밖에 없는 피싱/스피어 피싱 공격을 수행해낸다. 예를 들어 훔친 비밀번호를 통해 애완견 이름을 유추하고, 그 이름을 가지고 소셜미디어나 블로그 게시글을 검색해 해당 인물의 가족과 친구들까지 샅샅이 알아내는 식이다. 표적의 쇼핑 이력이나 거주지 주소도 당연히 ‘숨겨진 통찰’을 이끌어내는 데에 도움이 된다.
한미마이크로닉스의 게시판 문제를 최초로 제보했던 사용자는 해당 게시판에 있던 글들은 “거의 대부분 언제 택배 보내를 보냈으니 확인해 달라는 요구와 연락처, 주소, 이름 등”을 포함하고 있었다고 주장한다. 그렇다는 건 누군가 공격할 표적을 정해둔 상태에서 전화번호를 알아낸다면 포털 검색을 통해 해당 인물이 어디에 살고, 최근에 어떤 장비를 교체했는지를 알 수도 있다는 것이다. 해당 장비에 취약점이 있고, 그걸 공격자가 알아내면 한 가지 공격 통로가 확보된다. 한미마이크로닉스 게시판에 글을 남긴 모든 사람이 특정될 위험에 처했다고 보기는 힘들지만, 공격의 의지가 분명한 해커에게 유용할 수 있는 데이터가 일정 기간 노출되었던 것은 사실이다.
취약점 제보에 민감한 회사 문화가 필요
이 사건으로 드러나는 건 취약점 제보 및 접수 시스템의 중요성이기도 하다. 제보자가 문제를 공론화하게 된 건 회사의 대응이 늦었기 때문이다. 다시 말해 한미마이크로닉스가 최초 제보 후에 답장이라도 보냈으면 문제가 불거지지 않았을 수도 있다는 것이다. 위에도 적었지만 회사 측은 제보를 무시한 게 아니라 접수를 받는 고객 서비스 센터와 웹사이트 관리 담당 부서간 소통이 원활하지 않았다고 설명한다.
이는 국내외 많은 기업들에서 저지르는 실수이기도 하다. 외부 보안 전문가들의 취약점 제보를 접수하는 전담 창구가 없을 때, 내부 부서 간 협력에 조금이라도 지연되거나 담당자가 깜빡 잊는 것만으로도 회사에 치명적인 타격이 될 수 있다. 소비자들이 개인정보 보호와 해킹 사고에 매우 민감하다는 걸 인지한다면 취약점과 관련된 제보를 누군가 전담해 접수하거나, 사내 교육 및 정책 보완 등으로 보안 관련 내용이 빠르게 전파되도록 할 필요가 있다.
현재 한미마이크로닉스 측에서는 “게시판을 완전히 새롭게 바꾸는 방향도 논의되고 있다”고 하는데, 이것이 단순히 게시판 하나만의 문제가 아님을 알고 총체적으로 접근할 수 있어야 한다. 기술적인 조치만큼 사내 인력과 외주 인력의 교육, 보안 관련 정책의 보완도 필요해 보인다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 컴퓨터 장비 전문 업체인 한미마이크로닉스에서 개인정보 일부가 노출되는 사고가 발생했다. 이를 제일 처음 발견한 사용자는 해당 사실을 인터넷 커뮤니티 게시판에 알려 잠재적 피해자들에게 알렸고, 회사 측은 문제가 되는 기능을 임시로 차단함으로써 사건이 악화되는 걸 일단락시켰다.
마이크로닉스 게시판 공지[이미지=보안뉴스]
제보가 제일 처음 커뮤니티에 올라온 것은 7월 6일이었다. “한미마이크로닉스 고객 문의 게시판에 글을 남긴 적이 있다면 전부 삭제하라”는 내용이었다. 게시글을 지우지 않고 그대로 둘 경우 검색 포털을 통해 개인정보인 전화번호가 검색된다는 것이었다. “보안이 안 되는 게시판 글들은 검색 포털에 고스란히 노출이 되고 있는 상황”이라는 해당 게시글 작성자는 심지어 “게시글 번호를 유추해 입력하면 비밀번호가 걸려 있는 게시글도 볼 수 있다”고 주장했다.
한미마이크로닉스도 이 소식을 접하고 사실 확인 작업에 들어갔다. 다만 원 제보자가 최초로 회사 측에 연락을 한 날은 7월 5일이었고, 7월 6일 점심까지 문제 처리가 되지 않고 있었다. 제보자는 7월 6일 점심 즈음 다시 한 번 회사에 연락해 사실을 알렸다고 한다. 이는 양측의 주장이 일치하는 부분이다. 제보자는 “그럼에도 회사에서 대응을 하지 않아서 커뮤니티를 통해 공론화를 했다”고 하고, 회사는 “접수를 받은 고객 서비스 부서와 웹사이트 운영 담당 부서 간 소통에 약간의 지연이 있었던 건 사실이나, 문제를 확인하고 있던 중이었지 무시하던 것은 아니”라고 설명하고 있다.
현재 한미마이크로닉스는 문제가 되고 있는 고객 문의 게시판을 닫고 사과 공지문을 올린 상태다. 문의 업무는 전화와 메일로 대신 하고 있다. 현재 정확한 피해 규모와 사고의 원인을 파악하고 있다고 하며, 그렇기에 언제쯤 다시 게시판이 복구될 지는 정확히 알 수 없다고 한다. 또한 “전화번호가 검색을 통해 노출된 건 사실이나 개인을 특정할 수 있는 수준의 정보가 노출된 건 아니”라고 설명하기도 했다. “현재 게시판의 보완 및 강화 방법에 대해 여러 가지로 논의가 이뤄지고 있습니다.”
간과할 수 없는 해커들의 정보 조합 능력
해킹 공격이 하루에도 수도 없이 일어나고 새로운 공격 기법들이 매일 쏟아지는 때이지만, 최초 공격은 거의 항상 피싱 혹은 소셜 엔지니어링 기법으로 구성된다. 또한, 특정 인물을 표적으로 하는 스피어피싱 공격 역시 날이 갈수록 예리해지고 있다. 전문가들 사이에서는 오래 전부터 해킹 공격자들이 컴퓨터와 장비만이 아니라 사람의 심리마저 잘 유린하는 자들이라는 설명도 나오고 있는 상황이다.
실제 최근 사이버 공격자들은 사소하게 보이는 정보들을 조합하고 추적하여 자신이 공격하고자 하는 단체나 인물에 대한 숨겨진 통찰을 이끌어내는 데에 능숙하며, 이를 통해 당하는 사람은 속을 수밖에 없는 피싱/스피어 피싱 공격을 수행해낸다. 예를 들어 훔친 비밀번호를 통해 애완견 이름을 유추하고, 그 이름을 가지고 소셜미디어나 블로그 게시글을 검색해 해당 인물의 가족과 친구들까지 샅샅이 알아내는 식이다. 표적의 쇼핑 이력이나 거주지 주소도 당연히 ‘숨겨진 통찰’을 이끌어내는 데에 도움이 된다.
한미마이크로닉스의 게시판 문제를 최초로 제보했던 사용자는 해당 게시판에 있던 글들은 “거의 대부분 언제 택배 보내를 보냈으니 확인해 달라는 요구와 연락처, 주소, 이름 등”을 포함하고 있었다고 주장한다. 그렇다는 건 누군가 공격할 표적을 정해둔 상태에서 전화번호를 알아낸다면 포털 검색을 통해 해당 인물이 어디에 살고, 최근에 어떤 장비를 교체했는지를 알 수도 있다는 것이다. 해당 장비에 취약점이 있고, 그걸 공격자가 알아내면 한 가지 공격 통로가 확보된다. 한미마이크로닉스 게시판에 글을 남긴 모든 사람이 특정될 위험에 처했다고 보기는 힘들지만, 공격의 의지가 분명한 해커에게 유용할 수 있는 데이터가 일정 기간 노출되었던 것은 사실이다.
취약점 제보에 민감한 회사 문화가 필요
이 사건으로 드러나는 건 취약점 제보 및 접수 시스템의 중요성이기도 하다. 제보자가 문제를 공론화하게 된 건 회사의 대응이 늦었기 때문이다. 다시 말해 한미마이크로닉스가 최초 제보 후에 답장이라도 보냈으면 문제가 불거지지 않았을 수도 있다는 것이다. 위에도 적었지만 회사 측은 제보를 무시한 게 아니라 접수를 받는 고객 서비스 센터와 웹사이트 관리 담당 부서간 소통이 원활하지 않았다고 설명한다.
이는 국내외 많은 기업들에서 저지르는 실수이기도 하다. 외부 보안 전문가들의 취약점 제보를 접수하는 전담 창구가 없을 때, 내부 부서 간 협력에 조금이라도 지연되거나 담당자가 깜빡 잊는 것만으로도 회사에 치명적인 타격이 될 수 있다. 소비자들이 개인정보 보호와 해킹 사고에 매우 민감하다는 걸 인지한다면 취약점과 관련된 제보를 누군가 전담해 접수하거나, 사내 교육 및 정책 보완 등으로 보안 관련 내용이 빠르게 전파되도록 할 필요가 있다.
현재 한미마이크로닉스 측에서는 “게시판을 완전히 새롭게 바꾸는 방향도 논의되고 있다”고 하는데, 이것이 단순히 게시판 하나만의 문제가 아님을 알고 총체적으로 접근할 수 있어야 한다. 기술적인 조치만큼 사내 인력과 외주 인력의 교육, 보안 관련 정책의 보완도 필요해 보인다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
