중국의 온라인 쇼핑몰 기어베스트, 각종 고객 정보 유출

2019-03-18 10:21
  • 카카오톡
  • 네이버 블로그
  • url
기어베스트의 DB 하나, 보안 설정 되어 있지 않아 인터넷에 노출
VPN멘토, “기어베스트 측에 여러 번 알렸으나 응답이 없었다” 주장


[보안뉴스 문가용 기자] 중국의 온라인 쇼핑몰인 기어베스트(Gearbest)가 데이터베이스의 보안에 일부 실패했고, 이 때문에 고객들의 개인 식별 정보 다수가 유출됐다. VPN 업체인 VPN멘토(VPNMentor)가 이를 발견해 발표했다. 기어베스트 측은 큰일이 아니라며, 보안 팀 직원의 실수로 인한 해프닝일 뿐이라고 주장했다.


[이미지 = iclickart]

기어베스트는 전자 기기, 의류, 액세서리, 가전제품 등을 거래하는 온라인 쇼핑몰로 중국의 대기업인 글로벌이그로우(Globalegrow)가 소유한 업체다. 전 세계적으로 거의 모든 나라에 유통망을 가지고 있으며, 사업적으로 꽤나 성공적인 이야기를 써내려가고 있는 중이다.

하지만 최근 엘라스틱서치(Elasticsearch) 클러스터에 있는 데이터베이스 하나와, 기어베스트의 자매 기업이 소유하고 있는 데이터베이스 몇 개가 인터넷에 무방비로 노출되어 있다는 게 발견됐다. 이 때문에 일부 고객의 개인 식별 정보(주소, 이름, 이메일 주소, 전화번호, 주문 번호, 계정 비밀번호 등)는 물론 주문 내역, 지불 및 인보이스 관련 정보가 유출됐다.

VPN멘토의 보안 전문가들이 해당 데이터베이스를 발견했을 때, 그 안에는 150만 개가 넘는 기록들이 저장되어 있었다. 비밀번호와 같은 민감한 정보가 암호화도 되어 있지 않았다. 고객의 정보를 안전하게 보관하고 있다는 기어베스트의 주장과는 상반된 내용이다. 게다가 기어베스트는 IP 주소 등 온라인 거래를 하는 데 있어 불필요한 정보들도 수집하고 있었다.

VPN멘토는 “더 개방되고, 더 정직한 인터넷을 만들기 위한 트렌드가 형성되고 있는 가운데 터진 이런 사고는 꽤나 치명적”이라고 설명했다. “산업을 막론하고 소비자들과의 활발한 소통을 위해 더 투명해지고 정직해지려고 하고 있는데, 기어베스트처럼 ‘잘 하고 있다’는 거짓말로 고객들을 속이는 기업이 나타난 건, 분위기 형성에 찬물을 끼얹는 것입니다.”

VPN멘토는 이번 조사를 통해 “기어베스트 계정들에 접근하는 것만이 아니라 로그인 정보를 변경할 수도 있었다”고 주장한다. “악성 해커들이 이 정보를 확보할 수 있었다면, 고객의 아이덴티티 정보를 훔쳐 추가 범행을 저지를 수도 있습니다. 게다가 기어베스트는 중국 고객들만을 위한 업체가 아니죠. 전 세계 곳곳에 사용자가 있기 때문에, 사용자들이 더 위험해질 수 있습니다.”

기어베스트 혹은 글로벌이그로우가 운영하던 카프카(Kafka) 시스템의 URL 접근 정보도 이 데이터베이스를 통해 유출됐다. 카프카는 데이터 관리 프로그램의 일부로, 각종 서버들을 통해 전달되는 사이트 데이터를 관리하는 기능을 하고 있다. 사업의 효율성을 높이기 위한 ‘빅 데이터 처리’가 시행되는 곳이라는 뜻이다.

“이런 데이터 관리 시스템에 악의적인 해커가 접근할 수 있다면, 정보를 조작하거나 데이터베이스 특성들을 재설정하고, 심지어 회사 서버의 일부를 아예 불능으로 만들어버릴 수도 있습니다. 서버의 기능에 따라 결과가 달라질 수 있지만 해커가 데이터 수집 과정을 방해하고, 주문을 뒤죽박죽으로 만들고, 창고 관리도 엉망으로 만들 수 있습니다.”

VPN멘토 측은 “기어베스트와 글로벌이그로우에 이 사실을 알려주기 위해 여러 번 연락을 취했다”고 주장한다. “그러나 아무런 답이 없었고, 따라서 자신들이 발견한 내용을 발표할 수밖에 없었습니다.”

이 연구 발표 이후에서야 사태를 파악한 기어베스트는 “데이터 과부하를 막고 외부 툴들을 효율적으로 분배하는 데 사용하는 데이터베이스만이 단시간 동안만 인터넷에 노출됐을 뿐”이라고 발표했다. 또한 “보안 팀 직원 한 명의 실수로 인한 것”이었다고 덧붙이기도 했다. 이 사건 때문에 피해를 입은 고객은 3월 1일부터 3월 15일 사이에 주문을 한 사람들뿐이며, 이들은 28만 명 정도라고 기어베스트는 설명했다.

보안 업체 임퍼바(Imperva)의 테리 레이(Terry Ray)는 “기업들이 새로운 기술들을 적극적으로 활용하긴 하는데, 자신들이 감당할 수 있는 능력 이상으로 활용해서 문제”라고 지적한다. “데이터를 활용해야 한다는 생각을 많은 기업들이 가지고는 있어요. 그리고 데이터를 통한 사업적 기회가 무엇인지도 어렴풋이는 가지고 있습니다. 다만 그에 따른 리스크에 대한 생각은 크게 하지 않는 듯합니다.”

3줄 요약
1. 중국의 거대 온라인 쇼핑몰 기어베스트, 데이터베이스 하나를 인터넷으로 노출시킴.
2. ‘단단히 보호하고 있다’는 홍보와 달리 암호화 처리도 되어 있지 않았던 것으로 나타남.
3. 기어베스트는 ‘별 거 아닌 일’이라고 사건을 축소시키려 하고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기