비인가 객체 참조(IDOR) 취약점 악용해 230만명 개인정보 탈취
통합 로그인 구조로 계열사 연쇄 피해 우려...피싱·스와팅 위험도 증가

[보안뉴스 김형근 기자] 글로벌 미디어 그룹 콘데나스트(Condé Nast) 산하 IT 전문 매체 와이어드(WIRED)가 해커의 공격을 받아 약 230만명의 구독자 기록이 유출되는 보안 사고를 당했다.


[자료: 와이어드]

‘러블리’(Lovely)라는 닉네임의 해커는 지난 크리스마스를 기해 브리치포럼 등 주요 해킹 포럼에 이 데이터베이스를 전격 공개했다.

유출된 데이터엔 230만 개의 이메일 주소를 비롯해 약 28만 명의 이름, 10만 명 이상의 집 주소, 3만2000여개의 전화번호가 포함된 것으로 확인됐다.

보안 기업 허드슨락은 유출된 데이터를 기존에 수집된 정보탈취형 악성코드 인포스틸러 로그와 대조해 본 결과, 실제 사용자의 인증 정보와 상당 부분 일치한다는 점을 근거로 이들 데이터가 실제 유출본일 가능성이 높다고 분석했다.

분석 결과, 해커는 비인가 직접 객체 참조(IDOR) 취약점을 악용했다. 사용자 ID 값을 순차적으로 변경해 인증 없이 타인의 프로필 정보를 모으는 방식이다. 또 계정 엔드포인트 접근 제어 결함으로 이메일이나 비밀번호 등의 무단 수정까지 가능했던 것으로 드러났다.

해커는 11월 보안 연구원을 사칭해 콘데나스트의 6개 취약점을 알릴 수 있도록 도와달라며 데이터브리치넷(DataBreaches.net)에 연락했으나 와이어드에서 아무 응답이 없자 데이터를 공개했다. 현재 그는 와이어드뿐만 아니라 보그, 뉴요커 등 콘데나스트 내 자매 브랜드의 데이터 4000만건을 추가 공개하겠다고 협박 중이다.

현재 유출된 데이터는 ‘해브아이빈폰드’(Have I Been Pwned) 등 다크웹 모니터링 사이트에 등록됐으며, 구독자들은 피싱이나 신상털기(Doxing), 허위 신고 위협 스와팅(Swatting) 위험에 노출된 상태다.

또 콘데나스트 산하의 모든 매체가 통합 로그인 시스템을 공유하고 있어 연쇄 피해가 발생할 수 있는 상황이다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>