철도부 운영 ‘12306.cn’ 고객정보 13만여 건 유출 수십억명 열차 이동하는 중국 명절 ‘춘절’ 앞두고 이용자들 불안 고조

[보안뉴스 온기홍= 중국 베이징] 중국 정부가 운영하는 전국 열차표 예매시스템에서 고객정보가 대량 유출되는 사건이 일어났다.

특히 수십억명이 열차로 이동하는 중국 최대 명절 ‘춘절’ 운송기간을 앞두고 대량의 고객 정보 유출 사건이 발생해 이용자들의 불안과 함께 보안대책 강화를 요구하는 목소리가 커지고 있다.

중국 철도부가 운영하는 공식 열차표 예매시스템인 ‘12306.cn’에서 고객정보가 대량으로 유출됐다고 중국 관영매체들이 26일 일제히 전했다.

 ▲ 중국 철도부가 운영하는 전국 열차표 예매시스템 ‘12306’ 사이트 화면

중국 보안취약품 관련 사이트인 우윈망은 25일 내놓은 보고에서 ‘12306’ 사이트에서 이용자 데이터 유출 고취약점이 발견됐다며 신속하게 비밀번호를 바꾸라고 경고했다. 우윈망은 12306 사이트 이용자들의 계정, 비밀번호, 신분증 번호, 전자우편주소 등이 유출돼 인터넷에 떠돌고 있다고 공개했다.

 ▲ 중국 정부 운영 열차표 예매시스템의 일부 고객 정보가 유출돼 중국 일부 인터넷 게시판과     사이트에 올라 와 있는 화면(사진 출처: 중국광보어망)

중국 일부 인터넷 게시판과 사이트에 떠도는 ‘12306@이메일-비밀번호-성명-신분증-이동전화’란 제목의 파일에는 13만1,653건의 고객 데이터가 담겨 있다고 보안업계와 전문가들은 추산했다. 파일 용량은 14Mb 안팎인 것으로 파악됐다. 하지만 다른 18G 용량의 데이터가 아직 인터넷에 올라와 있지 않아 유출 규모는 더욱 커질 수 있다는 주장도 일부 보안전문가들 사이에서 나오고 있다. 

중국 정부가 2년여 전부터 ‘열차표 실명제’를 실시해 오고 있는 상황에서 ‘12306’ 웹사이트에서 고객정보 유출사건은 이번이 처음은 아니지만, 유출된 고객정보 규모로는 이번이 최대라고 중국 매체들은 전했다.

 ▲ 중국 정부 운영 열차표 예매시스템의 일부 고객 정보가 담긴 ‘12306@이메일-비밀번호-    성명-신분증-이동전화’란 제목의 파일 화면.

중국 매체들은 보안전문가들의 말을 인용해 이번에 유출된 정보들 가운데 임의로 50개의 계정을 뽑아 12306 사이트에서 로그인을 시도해 본 결과, 모두 로그인에 성공했다고 전했다.

이에 대해 철도부 쪽은 고객의 비밀번호를 포함한 정보가 유출된 것으로 조사됐다고 확인했으나, 공식 ‘12306’ 사이트에서 유출된 정보는 아니라고 해명했다. 철도 당국은 “정밀 조사 결과, 이번 유출 정보는 모두 이용자의 평문 비밀번호를 담고 있다”고 밝혔다. 그러면서 “12306 사이트의 데이터 베이스(DB)에 있는 모든 이용자의 비밀번호는 여러 차례 암호화된 비평문 변환 코드”라며 “이번에 인터넷상에 유출된 이용자 정보는 12306 사이트가 아닌 다른 웹사이트나 경로를 통해 유출됐다”고 해명했다.

철도 당국은 이어 “최근 정식 허가를 받지 않은 다른 웹사이트가 열차표 예매 서비스를 하고 있으므로 이용자들은 주의하라”며 “여행객들은 다른 제3자 티켓구매 웹사이트와 S/W 업체를 통해 열차표를 구매해서는 안 된다”고 강조했다.

그러자 바이두와 치후360, Ctrip닷컴 등 인터넷상 티켓구매 플랫폼도 운영하는 사이트들은 이번 정보유출 사건과 무관하다고 주장했다. 유관 데이터의 전송과 저장은 시종 암호화 상태이며, 이용자 정보는 고객 단말기에만 저장돼 있다고 이들 업체는 해명했다.

이번 유출 사건이 알려진 뒤 중국 공안은 수사에 나서 25일 장모 씨와 스모 씨 등 2명을 타인 전자정보 절취·유출 혐의로 붙잡았다. 중국 매체들은 철도 당국을 인용해 이들이 한 게임 웹사이트와 다른 여러 웹사이트에서 유출된 이용자명·비밀번호 정보를 수집했다고 전했다. 두 사람은 이들 정보를 활용해 다른 웹사이트에서 로그인을 시도한 뒤, 로그인이 가능한 이용자들을 추려냈다고 털어 놓았다. 이들은 이를 통해 이용자의 다른 정보들도 손에 넣었고 불법 이익을 챙겼다.

이와 관련 철도 당국은 많은 이용자들이 여러 웹사이트에서 동일한 계정과 비밀번호를 쓰고 있기 때문에 해커는 이용자의 ‘A’ 웹사이트 계정을 손에 넣은 다음 이를 가지고 다른 “B’ 웹사이트에서 로그인을 시도한다고 설명했다.

하지만 치후360 등 중국 정보보안업체와 전문가들은 이번 유출 자료에 오른 이용자들을 확인해 본 결과, 이들은 모두 제3의 티켓구매 사이트나 S/W를 사용해 열차표를 예매하지 않았을 뿐 아니라 최근 열차표를 구매하지도 않은 것으로 나타났다고 중국 매체들은 전했다.

중국 정보보안업체인 루이싱의 ‘인터넷 공방 랩’은 이번 정보유출 경로와 관련해 첫째 12306 사이트내 자체 보안취약점, 둘째 제3자 티켓구매 플랫폼이 경로일 가능성이 있다고 밝혔다. 이와 동시에 다른 웹사이트 취약점을 악용해 이용자명과 비밀번호를 뺴낸 뒤, 12306 사이트에서 로그인에 성공해 추가 정보들을 손에 넣는 수법도 또 다른 유출 경로일 수 있다고 루이싱은 덧붙였다.

루이싱 쪽은 12306 사이트에 대한 자체 보안 검사를 실시해 12306 사이트 예하 ‘남방화물배송서비스소’와 ‘동북화물배송서비스소’ 등 6개 웹사이트에서 ‘Struts2’ 원격 실행 취약점을 발견했다고 밝혔다. 해커는 이들 취약점을 악용해 6개 웹사이트 서버에 악성 파일을 내려 받고 관리자 권한을 획득할 수 있으며, 나아가 전체 12306 사이트를 공격해 모든 데이터베이스 내 정보를 훔칠 수 있다고 루이싱은 지적했다.

 ▲ 중국 정보보안회사 루이싱이 중국 정부 열차표 예매사이트 ‘12306’ 예하 6개 웹사이트에서     ‘Strust2’의 원격 실행 취약점을 발견해 공개한 화면.

중국 정보보안 전문가들은 일반 이용자들에게 피해를 예방하기 위해 12306.cn에 등록한 계정·비밀번호를 비롯해 채팅 툴 ‘QQ’, 모바일 채팅 툴 ‘웨이신’, e메일, 인터넷 뱅킹의 비밀번호 등도 신속히 바꾸라고 당부했다.

앞서 지난 1월에도 중국 명절 ‘춘절’을 앞두고 12306 열차표 예매사이트에서 가짜 여권과 신분증을 통해 예매가 이뤄졌다는 신고가 있었다.

한편, 12306 철로고객서비스센터는 26일 인터넷을 통해 발표한 공고문에서 “최근 다른 사람의 신분 정보를 이용해 인터넷에서 열차표를 사재기하고 암표 장사를 하는 범죄자들이 붙잡혔다”며 타인의 신분을 도용해 열차표를 구매하는 행위를 단속해 나가겠다고 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>