총 16개 애플리케이션 및 웹 서비스에서 수집하고 정리한 정보
대부분 작년 유출 사고에서 기인한 듯...GDPR 피해갈 수 없을 것으로 보여
[보안뉴스 문가용 기자] 다크웹의 한 마켓에서 이번 주 약 6억 1천 7백만 사용자 정보가 저장된 데이터가 판매되기 시작했다. 이 정보들은 총 16개의 웹사이트 및 앱으로부터 수집된 것이라고 한다. 이를 최초로 보도한 영국 매체 레지스터(The Register)에 따르면 판매자는 드림 마켓(Dream Market)이라는 암시장에서 이 같은 행위를 벌이고 있다고 한다.
[이미지 = iclickart]
해당 사건으로 영향을 받은 사이트 및 애플리케이션 16개와, 각 서비스 별 계정 수를 정리하면 다음과 같다.
1) Dubsmash : 1억 6200만
2) MyFitnessPal : 1억 5100만
3) 8fit : 2000만
4) MyHeritage : 9200만
5) ShareThis : 4100만
6) HauteLook : 2800만
7) Animoto : 2500만
8) EyeEm : 2200만
9) Fotolog : 1600만
10) 500px : 1500만
11) Whitepages : 1800만
12) Armor Games : 1100만
13) BookMate : 800만
14) CoffeeMeetsBagel : 600만
15) Artsy : 100만
16) DataCamp : 70만
이 중 MyFitnessPal, Animoto, MyHeritage는 이미 작년에 침해 사고가 발생했음을 알렸고, 그 때 유출된 정보가 지금 판매되고 있는 것이라고 한다. 나머지 업체들은 해당 사실을 몰랐거나 숨기고 있었다.
유출된 것은 대부분 계정 정보로, 각 개인의 이름, 이메일 주소, 해시되거나 암호화 된 비밀번호 정보가 데이터베이스를 구성하고 있다. 하지만 웹사이트에 따라 사용자 이름, IP 주소, 생년월일, 위치, 국가, 언어, 관심사, 계정 생성일, 보안 질문과 답 등의 정보가 추가로 유출되기도 했다. 이 정보들은 스팸 공격이나 크리덴셜 스터핑 공격을 주로 하는 사이버 범죄자들에게 유용할 것으로 보인다.
보안 업체 비트글래스(Bitglass)의 CTO인 아누라그 카홀(Anurag Kahol)은 “유출된 크리덴셜덜은 계정을 탈취하려는 목적의 공격에 활용될 수 있다”고 경고했다. “여기서 말하는 계정이란 개인적인 계정도 포함되지만, 회사에서 사용하는 업무용 혹은 사업용 계정들도 말하는 겁니다. 즉 16개 서비스 중 하나라도 사용했던 6억명이 몸담고 있는 조직들에서는 비밀번호 재설정을 진행해야 한다는 겁니다.”
또 다른 보압 업체 어택아이큐(AttackIQ)의 CTO 스티븐 셰넷(Stephan Chenette)도 비슷한 의견이다. “사람들은 보통 개인적인 계정이든 업무용 계정이든 같은 비밀번호를 사용합니다. 흔한 인터넷 사용 습관 중 하나죠. 그렇기 때문에 크리덴셜 스터핑과 같은 원시적인 공격이 통하는 것이고요. 이번에 유출된 DB 역시 나쁜 비밀번호 사용 습관 때문에 유용한 자료로 변모할 가능성이 높습니다.”
현재 해당 DB의 판매자는 가격을 2만 달러로 책정한 상태다. 하지만 DB를 사이트나 앱 별로 개별 구매하고 싶은 사람들에게는 보다 낮은 가격에 일부만 따로 떼서 판매하고 있기도 하다. 현재까지 알려진 바로는 최소 1명의 구매자가 Dubsmash의 데이터베이스를 사갔다고 한다. 판매자 스스로는 웹 앱 취약점들을 익스플로잇 해서 데이터를 입수할 수 있었다고 주장하고 있다.
“대부분 2018년 한 해 동안 벌어진 정보 유출 사고에서 나온 데이터들을 모으고 정리한 겁니다. 그렇다는 건 업체들 중 대다수가 GDPR을 위반했을 가능성이 높다는 것이고, 따라서 무거운 벌금형 대상이 될 수 있습니다. 특히 몇 곳만 빼고는 전부 이 사안에 대해서 아무런 보고를 하지 않았다는 게 문제가 될 겁니다. 숨겼든, 몰랐든, 상관없이 말이죠.” 셰넷의 설명이다.
최근에는 ‘컬렉션(Collection)’이라는 이름으로 수천만~수억 건에 이르는 이메일 주소와 비밀번호가 웹상에 유출되는 사건도 있었다. 문제가 됐던 DB들 역시 과거에 있었던 정보 유출사고에서 나온 데이터를 한 데 취합한 것이었고, 크리덴셜 스터핑 공격을 증가시킬 것이라는 전망이 있었다.
3줄 요약
1. 다크웹의 드림 마켓에서 현재 6억 1700만 건의 계정 정보가 있는 DB가 거래되고 있음.
2. 16개 앱 및 웹 서비스에서 훔쳐온 정보들로, 해당 회사들은 대부분 이를 모르고 있음.
3. 보고가 없었으므로 GDPR 벌금이 무겁게 내려질 수도 있는 상황.
[국제부 문가용 기자(globoan@boannews.com)]
대부분 작년 유출 사고에서 기인한 듯...GDPR 피해갈 수 없을 것으로 보여
[보안뉴스 문가용 기자] 다크웹의 한 마켓에서 이번 주 약 6억 1천 7백만 사용자 정보가 저장된 데이터가 판매되기 시작했다. 이 정보들은 총 16개의 웹사이트 및 앱으로부터 수집된 것이라고 한다. 이를 최초로 보도한 영국 매체 레지스터(The Register)에 따르면 판매자는 드림 마켓(Dream Market)이라는 암시장에서 이 같은 행위를 벌이고 있다고 한다.
[이미지 = iclickart]
해당 사건으로 영향을 받은 사이트 및 애플리케이션 16개와, 각 서비스 별 계정 수를 정리하면 다음과 같다.
1) Dubsmash : 1억 6200만
2) MyFitnessPal : 1억 5100만
3) 8fit : 2000만
4) MyHeritage : 9200만
5) ShareThis : 4100만
6) HauteLook : 2800만
7) Animoto : 2500만
8) EyeEm : 2200만
9) Fotolog : 1600만
10) 500px : 1500만
11) Whitepages : 1800만
12) Armor Games : 1100만
13) BookMate : 800만
14) CoffeeMeetsBagel : 600만
15) Artsy : 100만
16) DataCamp : 70만
이 중 MyFitnessPal, Animoto, MyHeritage는 이미 작년에 침해 사고가 발생했음을 알렸고, 그 때 유출된 정보가 지금 판매되고 있는 것이라고 한다. 나머지 업체들은 해당 사실을 몰랐거나 숨기고 있었다.
유출된 것은 대부분 계정 정보로, 각 개인의 이름, 이메일 주소, 해시되거나 암호화 된 비밀번호 정보가 데이터베이스를 구성하고 있다. 하지만 웹사이트에 따라 사용자 이름, IP 주소, 생년월일, 위치, 국가, 언어, 관심사, 계정 생성일, 보안 질문과 답 등의 정보가 추가로 유출되기도 했다. 이 정보들은 스팸 공격이나 크리덴셜 스터핑 공격을 주로 하는 사이버 범죄자들에게 유용할 것으로 보인다.
보안 업체 비트글래스(Bitglass)의 CTO인 아누라그 카홀(Anurag Kahol)은 “유출된 크리덴셜덜은 계정을 탈취하려는 목적의 공격에 활용될 수 있다”고 경고했다. “여기서 말하는 계정이란 개인적인 계정도 포함되지만, 회사에서 사용하는 업무용 혹은 사업용 계정들도 말하는 겁니다. 즉 16개 서비스 중 하나라도 사용했던 6억명이 몸담고 있는 조직들에서는 비밀번호 재설정을 진행해야 한다는 겁니다.”
또 다른 보압 업체 어택아이큐(AttackIQ)의 CTO 스티븐 셰넷(Stephan Chenette)도 비슷한 의견이다. “사람들은 보통 개인적인 계정이든 업무용 계정이든 같은 비밀번호를 사용합니다. 흔한 인터넷 사용 습관 중 하나죠. 그렇기 때문에 크리덴셜 스터핑과 같은 원시적인 공격이 통하는 것이고요. 이번에 유출된 DB 역시 나쁜 비밀번호 사용 습관 때문에 유용한 자료로 변모할 가능성이 높습니다.”
현재 해당 DB의 판매자는 가격을 2만 달러로 책정한 상태다. 하지만 DB를 사이트나 앱 별로 개별 구매하고 싶은 사람들에게는 보다 낮은 가격에 일부만 따로 떼서 판매하고 있기도 하다. 현재까지 알려진 바로는 최소 1명의 구매자가 Dubsmash의 데이터베이스를 사갔다고 한다. 판매자 스스로는 웹 앱 취약점들을 익스플로잇 해서 데이터를 입수할 수 있었다고 주장하고 있다.
“대부분 2018년 한 해 동안 벌어진 정보 유출 사고에서 나온 데이터들을 모으고 정리한 겁니다. 그렇다는 건 업체들 중 대다수가 GDPR을 위반했을 가능성이 높다는 것이고, 따라서 무거운 벌금형 대상이 될 수 있습니다. 특히 몇 곳만 빼고는 전부 이 사안에 대해서 아무런 보고를 하지 않았다는 게 문제가 될 겁니다. 숨겼든, 몰랐든, 상관없이 말이죠.” 셰넷의 설명이다.
최근에는 ‘컬렉션(Collection)’이라는 이름으로 수천만~수억 건에 이르는 이메일 주소와 비밀번호가 웹상에 유출되는 사건도 있었다. 문제가 됐던 DB들 역시 과거에 있었던 정보 유출사고에서 나온 데이터를 한 데 취합한 것이었고, 크리덴셜 스터핑 공격을 증가시킬 것이라는 전망이 있었다.
3줄 요약
1. 다크웹의 드림 마켓에서 현재 6억 1700만 건의 계정 정보가 있는 DB가 거래되고 있음.
2. 16개 앱 및 웹 서비스에서 훔쳐온 정보들로, 해당 회사들은 대부분 이를 모르고 있음.
3. 보고가 없었으므로 GDPR 벌금이 무겁게 내려질 수도 있는 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
