.gif)
센스넷 테크놀로지라는 업체, 위구르족 낱낱이 감시하고 추적해
네덜란드 보안 전문가가 DB 발견...센스넷 측 조치 시도했으나 실패해
[보안뉴스 문가용 기자] 보안 전문가들이 중국 국민들의 개인정보 250만 건이 저장된 데이터베이스가 인터넷에 고스란히 노출되어 있는 것을 발견했다. 중국 신장성 위구르 지역에 거주하고 있는 소수 민족 수백만 명의 움직임을 인공지능 기반 안면 인식 기술로 모니터링 하던 센스넷 테크놀로지(SenseNets Technology)에서 관리하던 DB가 유출된 것이었다.
[이미지 = iclickart]
중국은 위구르의 소수 민족을 사실상 박해해왔으며, 이로 인해 국제적인 비판을 받아왔다.
위 개인정보를 대거 발견한 건 네덜란드의 보안 전문가인 빅토르 게베르스(Victor Gevers)로, 지난 주 개인의 트윗 계정을 통해 “이름, 신분증 번호, 생년월일, 위치 추적 데이터, 현재 고용인 등의 정보가, 식별 가능한 채로 인터넷에 노출되어 있었다”고 알렸다.
“중국에 센스넷 테크놀로지라는 업체가 있습니다. 이 기업은 인공지능을 기반으로 한 보안 소프트웨어 및 안면 인식 기술을 개발하는 곳입니다. 이 기술을 바탕으로 한 군중 분석, 개인 확인 및 추적을 전문으로 하고 있죠. 그런데 이 기업에서 추적하고 있던 수백만 명의 사람들과 기업의 지적재산까지 완전히 노출된 상태로 있었습니다.”
그는 연속된 트윗을 통해 계속해서 설명을 이어갔다. “문제의 DB에는 총 2,565,724명의 개인정보가 저장되어 있었습니다. 신분증 번호, 발급일자, 성별, 국적, 주소, 생년월일, 사진, 고용인, 24시간 동안의 위치 추적 이력 등입니다. 이중 위치 추적과 관련된 정보는 총 6,680,348 건이었습니다.” 센스넷은 이 수많은 개인들이 모스크, 호텔, 인터넷 카페 등을 방문하고 있다는 걸 추적해 기록하고 있었다고 한다.
이렇게나 중요한 DB가 아무런 인증 장치도 없이 인터넷에 고스란히 노출되어 있었다. 문제를 파악하고 센스넷 측에서 움직임을 취했으나, 성과가 없었다. “센스넷 운영자님들. 일단 지금 사용하고 계시는 해적판 윈도우 서버 2012를 업데이트하려고 시도하신 건 좋았습니다. 하지만 몽고DB와 MySQL 서버를 노출시키고 있는 방화벽을 또 끄셨더라고요.” 게베르스가 날린 트윗의 내용이다.
그러면서 그는 “고급 트래픽 모니터링 기술을 가지고 수많은 사람들을 추적하고, 그에 대한 개인정보를 축적해 놓는다는 것 자체가 중국 밖에서는 대부분 허용되지 않는데, 도대체 저 거대한 만리방화벽 안에서는 무슨 일이 일어나고 있는지 상상도 되지 않는다”고 비판했다.
해당 DB를 검토한 게베르스는 “지난 17일 동안 8600만 개가 넘는 ‘객체’들이 추적을 당했고, 1월 한 달 동안에는 총 3억 8600 ‘객체’가 같은 감시를 당했다”고 밝히기도 했다.
중국의 독재 정권은 감시 및 검열 능력을 총동원하고 있는 것으로 알려져 있다. 온라인 검열 부문에서는 이미 세계에서 유례를 찾을 수가 없을 만큼 압도적으로 선두에 있고, 국가 보안을 이유로 해외 기술 기업들에 대한 소스코드 및 네트워크 열람 요구도 하고 있는 상태다.
데이터 보안 전문 업체 컴포트AG(comfort AG)의 펠릭스 로스바흐(Felix Rosbach)는 “소설 1984를 능가하고 있는 곳이 바로 중국”이라고 비판하기도 했다. “이번 사건을 통해 유출된 정보는 굉장히 치명적입니다. 국가에서 발행한 시민권 번호 같은 정보는 해커들 손에 들어가면 무궁무진한 가능성을 갖게 됩니다. 각종 피싱 공격 등 추가 피해가 발생할 수도 있으며, 기존의 데이터들과 합쳐서 복잡한 고객 프로파일링을 할 수도 있습니다.”
그래서 비식별화 처리가 중요하다고 그는 강조했다. “이런 정보를 가지고 있다면, 해당 DB를 철저하게 보호하는 것은 물론, 데이터의 비식별화 처리도 필수적으로 해야 합니다. 중국의 검열도 문제지만, 이 사건을 통해 비슷한 DB를 보유한 많은 조직들이 경각심을 가지고 정보 보호에 힘써야 할 것입니다.”
3줄 요약
1. 중국 위구르족 감시하던 조직의 DB 노출돼 수백만 명 개인정보 유출.
2. 개인식별화도 하지 않은 민감 정보 고스란히 유출되고, 해당 조직의 뒤늦은 조치도 실패.
3. 개인정보 보관하고 사용하려면 비식별화 반드시 거쳐야 함.
[국제부 문가용 기자(globoan@boannews.com)]
네덜란드 보안 전문가가 DB 발견...센스넷 측 조치 시도했으나 실패해
[보안뉴스 문가용 기자] 보안 전문가들이 중국 국민들의 개인정보 250만 건이 저장된 데이터베이스가 인터넷에 고스란히 노출되어 있는 것을 발견했다. 중국 신장성 위구르 지역에 거주하고 있는 소수 민족 수백만 명의 움직임을 인공지능 기반 안면 인식 기술로 모니터링 하던 센스넷 테크놀로지(SenseNets Technology)에서 관리하던 DB가 유출된 것이었다.
[이미지 = iclickart]
중국은 위구르의 소수 민족을 사실상 박해해왔으며, 이로 인해 국제적인 비판을 받아왔다.
위 개인정보를 대거 발견한 건 네덜란드의 보안 전문가인 빅토르 게베르스(Victor Gevers)로, 지난 주 개인의 트윗 계정을 통해 “이름, 신분증 번호, 생년월일, 위치 추적 데이터, 현재 고용인 등의 정보가, 식별 가능한 채로 인터넷에 노출되어 있었다”고 알렸다.
“중국에 센스넷 테크놀로지라는 업체가 있습니다. 이 기업은 인공지능을 기반으로 한 보안 소프트웨어 및 안면 인식 기술을 개발하는 곳입니다. 이 기술을 바탕으로 한 군중 분석, 개인 확인 및 추적을 전문으로 하고 있죠. 그런데 이 기업에서 추적하고 있던 수백만 명의 사람들과 기업의 지적재산까지 완전히 노출된 상태로 있었습니다.”
그는 연속된 트윗을 통해 계속해서 설명을 이어갔다. “문제의 DB에는 총 2,565,724명의 개인정보가 저장되어 있었습니다. 신분증 번호, 발급일자, 성별, 국적, 주소, 생년월일, 사진, 고용인, 24시간 동안의 위치 추적 이력 등입니다. 이중 위치 추적과 관련된 정보는 총 6,680,348 건이었습니다.” 센스넷은 이 수많은 개인들이 모스크, 호텔, 인터넷 카페 등을 방문하고 있다는 걸 추적해 기록하고 있었다고 한다.
이렇게나 중요한 DB가 아무런 인증 장치도 없이 인터넷에 고스란히 노출되어 있었다. 문제를 파악하고 센스넷 측에서 움직임을 취했으나, 성과가 없었다. “센스넷 운영자님들. 일단 지금 사용하고 계시는 해적판 윈도우 서버 2012를 업데이트하려고 시도하신 건 좋았습니다. 하지만 몽고DB와 MySQL 서버를 노출시키고 있는 방화벽을 또 끄셨더라고요.” 게베르스가 날린 트윗의 내용이다.
그러면서 그는 “고급 트래픽 모니터링 기술을 가지고 수많은 사람들을 추적하고, 그에 대한 개인정보를 축적해 놓는다는 것 자체가 중국 밖에서는 대부분 허용되지 않는데, 도대체 저 거대한 만리방화벽 안에서는 무슨 일이 일어나고 있는지 상상도 되지 않는다”고 비판했다.
해당 DB를 검토한 게베르스는 “지난 17일 동안 8600만 개가 넘는 ‘객체’들이 추적을 당했고, 1월 한 달 동안에는 총 3억 8600 ‘객체’가 같은 감시를 당했다”고 밝히기도 했다.
중국의 독재 정권은 감시 및 검열 능력을 총동원하고 있는 것으로 알려져 있다. 온라인 검열 부문에서는 이미 세계에서 유례를 찾을 수가 없을 만큼 압도적으로 선두에 있고, 국가 보안을 이유로 해외 기술 기업들에 대한 소스코드 및 네트워크 열람 요구도 하고 있는 상태다.
데이터 보안 전문 업체 컴포트AG(comfort AG)의 펠릭스 로스바흐(Felix Rosbach)는 “소설 1984를 능가하고 있는 곳이 바로 중국”이라고 비판하기도 했다. “이번 사건을 통해 유출된 정보는 굉장히 치명적입니다. 국가에서 발행한 시민권 번호 같은 정보는 해커들 손에 들어가면 무궁무진한 가능성을 갖게 됩니다. 각종 피싱 공격 등 추가 피해가 발생할 수도 있으며, 기존의 데이터들과 합쳐서 복잡한 고객 프로파일링을 할 수도 있습니다.”
그래서 비식별화 처리가 중요하다고 그는 강조했다. “이런 정보를 가지고 있다면, 해당 DB를 철저하게 보호하는 것은 물론, 데이터의 비식별화 처리도 필수적으로 해야 합니다. 중국의 검열도 문제지만, 이 사건을 통해 비슷한 DB를 보유한 많은 조직들이 경각심을 가지고 정보 보호에 힘써야 할 것입니다.”
3줄 요약
1. 중국 위구르족 감시하던 조직의 DB 노출돼 수백만 명 개인정보 유출.
2. 개인식별화도 하지 않은 민감 정보 고스란히 유출되고, 해당 조직의 뒤늦은 조치도 실패.
3. 개인정보 보관하고 사용하려면 비식별화 반드시 거쳐야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
