데이터 암호화·보호 조치 전무...입양 아동·가족 세부 정보까지 무방비 노출
유출 경위·지속 기간 ‘오리무중’...기관, “보안 강화·법 준수” 입장이나 피해자 안내 등 조치 미흡
[보안뉴스 여이레 기자] 미국 텍사스 주에 위치한 비영리 입양기관 ‘글래드니 센터 포 어답션’(Gladney Center for Adoption, 이하 글래드니 입양 센터)이 110만 건 이상의 민감한 개인정보를 담은 데이터베이스를 인터넷에 노출시킨 사실이 드러났다. 유출된 정보의 양과 성격 모두에서 사상 최악급 개인정보 노출 사례 중 하나로 평가된다.
▲글래드니 센터 포 어답션 홈페이지 [자료:글래드니 센터 포 어답션]
이번 노출 사례는 사이버보안 연구원 제레마이아 파울러가 공개된 클라우드 데이터를 살펴보던 과정에서 우연히 발견됐다. 총 2.49기가바이트 용량의 데이터베이스에는 암호화나 접근 제한 없이 111만5000건이 넘는 기록이 저장돼 있었다.
입양 아동, 친부모, 양부모, 기관 직원에 대한 세부 정보가 담겨 있었으며, 이름과 연락처뿐 아니라 사건 메모(case notes), 개인 평가서(private assessments), 입양 신청 사유, 입양 거부 처리 이력, 가족력, 약물 사용 및 법률 문제 언급까지 포함된 것으로 알려졌다.
이 정보들은 누구나 접근 가능한 상태로 인터넷에 노출돼 있었다. 전문 해커가 아닌 일반 사용자도 클라우드 서버 검색 기술만 알면 손쉽게 찾아낼 수 있는 수준이었다.
데이터는 일반 텍스트 형식과 범용 고유 식별자(UUID) 혼합 형식으로 저장돼 있었지만 암호화는 돼 있지 않았다. 기술 지식이 있는 제3자가 접근할 경우 현장에 있는 관계자처럼 정보 해석이 가능한 상태였다는 것이 연구자의 지적이다.
파울러는 UUID에 대해서도 지적했다. 그는 “UUID는 단지 유일성을 위한 식별 수단일 뿐”이라며 “역으로 추론되거나 예측될 수 있어 보안 관점에서 민감 정보 보호를 위한 메커니즘으로 적절하지 않다”고 밝혔다.
이외에도 이메일 메타데이터 약 28만4000건이 노출돼 있었으며, 본문은 공개되지 않았으나 일부 메일 제목에서 개인 이름이나 기관명이 언급됐음이 확인됐다. 파울러는 “기록마다 개별 사례 전체가 담기지는 않았지만, 각각의 항목은 개인 사생활을 침해할 수 있는 충분한 맥락을 제공한다”고 강조했다.
파울러는 이 데이터베이스를 발견한 직후 ‘책임 있는 공개 원칙’(Responsible Disclosure)에 따라 글래드니 입양 센터 측에 즉시 경고 메시지를 보냈고, 하루 뒤 데이터베이스는 오프라인으로 전환됐다. 하지만 센터로부터 공식적 응답이나 해명은 없었다. 노출이 얼마나 오래 지속됐는지 또는 제3자가 이미 이 데이터를 다운로드했는지도 확인되지 않았다.
어떻게 노출이 발생했는지도 아직 밝혀지지 않았다. 글래드니 입양 센터에서 노출이 이뤄졌는지, 아니면 제3자 공급 업체에 의한 노출인지도 오리무중이다.
리사 슈슬러 글래드니 입양 센터 최고운영책임자(COO)는 언론사 와이어드(Wired)에 보낸 성명서에서 “글래드니 입양 센터는 보안을 매우 중요하게 생각한다”며 “외부 협력사와 함께 방어 체계를 더욱 보강하고 있다”고 전했다.
이어 슈슬러는 “보유 중인 민감 정보에 영향을 입은 것으로 판단되는 경우 즉시 관련된 개인들에게 통보할 것”이라고 밝혔으나, 글래드니 입양 센터 홈페이지에는 정보 노출에 대한 공지조차 올라오지 않은 상태다.
[여이레 기자(gore@boannews.com)]
유출 경위·지속 기간 ‘오리무중’...기관, “보안 강화·법 준수” 입장이나 피해자 안내 등 조치 미흡
[보안뉴스 여이레 기자] 미국 텍사스 주에 위치한 비영리 입양기관 ‘글래드니 센터 포 어답션’(Gladney Center for Adoption, 이하 글래드니 입양 센터)이 110만 건 이상의 민감한 개인정보를 담은 데이터베이스를 인터넷에 노출시킨 사실이 드러났다. 유출된 정보의 양과 성격 모두에서 사상 최악급 개인정보 노출 사례 중 하나로 평가된다.
▲글래드니 센터 포 어답션 홈페이지 [자료:글래드니 센터 포 어답션]
이번 노출 사례는 사이버보안 연구원 제레마이아 파울러가 공개된 클라우드 데이터를 살펴보던 과정에서 우연히 발견됐다. 총 2.49기가바이트 용량의 데이터베이스에는 암호화나 접근 제한 없이 111만5000건이 넘는 기록이 저장돼 있었다.
입양 아동, 친부모, 양부모, 기관 직원에 대한 세부 정보가 담겨 있었으며, 이름과 연락처뿐 아니라 사건 메모(case notes), 개인 평가서(private assessments), 입양 신청 사유, 입양 거부 처리 이력, 가족력, 약물 사용 및 법률 문제 언급까지 포함된 것으로 알려졌다.
이 정보들은 누구나 접근 가능한 상태로 인터넷에 노출돼 있었다. 전문 해커가 아닌 일반 사용자도 클라우드 서버 검색 기술만 알면 손쉽게 찾아낼 수 있는 수준이었다.
데이터는 일반 텍스트 형식과 범용 고유 식별자(UUID) 혼합 형식으로 저장돼 있었지만 암호화는 돼 있지 않았다. 기술 지식이 있는 제3자가 접근할 경우 현장에 있는 관계자처럼 정보 해석이 가능한 상태였다는 것이 연구자의 지적이다.
파울러는 UUID에 대해서도 지적했다. 그는 “UUID는 단지 유일성을 위한 식별 수단일 뿐”이라며 “역으로 추론되거나 예측될 수 있어 보안 관점에서 민감 정보 보호를 위한 메커니즘으로 적절하지 않다”고 밝혔다.
이외에도 이메일 메타데이터 약 28만4000건이 노출돼 있었으며, 본문은 공개되지 않았으나 일부 메일 제목에서 개인 이름이나 기관명이 언급됐음이 확인됐다. 파울러는 “기록마다 개별 사례 전체가 담기지는 않았지만, 각각의 항목은 개인 사생활을 침해할 수 있는 충분한 맥락을 제공한다”고 강조했다.
파울러는 이 데이터베이스를 발견한 직후 ‘책임 있는 공개 원칙’(Responsible Disclosure)에 따라 글래드니 입양 센터 측에 즉시 경고 메시지를 보냈고, 하루 뒤 데이터베이스는 오프라인으로 전환됐다. 하지만 센터로부터 공식적 응답이나 해명은 없었다. 노출이 얼마나 오래 지속됐는지 또는 제3자가 이미 이 데이터를 다운로드했는지도 확인되지 않았다.
어떻게 노출이 발생했는지도 아직 밝혀지지 않았다. 글래드니 입양 센터에서 노출이 이뤄졌는지, 아니면 제3자 공급 업체에 의한 노출인지도 오리무중이다.
리사 슈슬러 글래드니 입양 센터 최고운영책임자(COO)는 언론사 와이어드(Wired)에 보낸 성명서에서 “글래드니 입양 센터는 보안을 매우 중요하게 생각한다”며 “외부 협력사와 함께 방어 체계를 더욱 보강하고 있다”고 전했다.
이어 슈슬러는 “보유 중인 민감 정보에 영향을 입은 것으로 판단되는 경우 즉시 관련된 개인들에게 통보할 것”이라고 밝혔으나, 글래드니 입양 센터 홈페이지에는 정보 노출에 대한 공지조차 올라오지 않은 상태다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
