이스라엘의 두 보안 전문가가 발견...연락 취했으나 아무런 답 받을 수 없어
웹사이트엔 ‘암호화 기술 사용’...하지만 DB에서는 대부분 정보가 평문으로 저장
[보안뉴스 문가용 기자] 보안 설정이 잘못되어 인터넷에 노출된 서버가 또 다시 발견됐다. 하필이면 엄청난 수의 개인정보가 암호화 되지 않은 채 저장되어 있는 서버였다고 한다. 심지어 생체 인증을 위한 정보도 포함되어 있었다.
[이미지 = iclickart]
이 데이터베이스는 한국의 생체 인증 전문 기업인 슈프리마(Suprema)의 것으로 나타났다. 이러한 사실을 처음 발견해 공개한 건 이스라엘의 보안 전문가인 노암 로템(Noam Rotem)과 란 로카(Ran Locar)로, “어마어마한 정보들이 엘라스틱서치(Elasticsearch) 기반 DB에 저장되어 있었고, 브라우저를 통해 쉽게 접근이 가능했다”고 말했다.
데이터는 슈프리마의 바이오스타 2(Biostar 2)라는 애플리케이션과 관련이 있는 것이었다. 바이오스타 2는 웹 기반 생체 인증 보안 스마트락 플랫폼으로, 관리자가 안면인식과 지문인식 기술을 사용해 특정 구역에 대한 접근을 통제할 수 있게 해준다. 서드파티 보안 앱과 통합할 수도 있고, 사용자 행동 로그도 기록 및 관리할 수 있다. 전 세계에 150만 번 이상 설치된 제품이다.
이스라엘의 두 전문가들이 접근할 수 있었던 데이터의 양은 ‘2780만 건의 기록’으로, 용량은 23 기가바이트였다고 한다. 클라이언트의 대시보드에 접근하기 위한 정보, 암호화 되지 않은 사용자 이름과 비밀번호, ID, 안전 구역에 드나든 기록, 보안 권한 등급, 집 주소, 이메일 주소, 모바일 장비 관련 정보, OS 정보가 포함된 기록들이었다.
가장 치명적이라고 꼽히는 건 지문과 안면 정보가 암호화 되지 않은 채 노출되어 있었다는 점이다. 생체 인식 기술에 사용되는 디지털 정보는 물론 이미지 정보들까지 저장되어 있었다. 이런 정보들은 비밀번호와 달리 변경이 불가능한 것이기 때문에 유출이나 노출이 절대 일어나서는 안 된다고 보안 전문가들은 수년 전부터 경고해왔는데, 그 일이 정말로 일어난 것이다.
물론 생체 인증 정보가 새나간 것이 이번이 처음 있는 일은 아니다. 2015년 미국 OPM 해킹 사건 당시 110만 명의 지문 정보가 유출되기도 했었다. 그러나 슈프리마의 사건은 생체 인증 정보와 더불어 관리자 계정 정보가 평문으로 노출되었다는 점에서 그 위험성이 궤를 달리한다고 이스라엘의 전문가들은 평한다. “공격자들이 현존하는 보안 환경 설정 내용을 변경할 수도 있습니다. 중요 사용자들이 로그인하지 못하도록 만들 수도 있고, 자신들의 지문을 가지고 계정들을 새롭게 만들어 공격 지속성을 확보할 수도 있습니다.”
그 말은 즉 “바이오스타 2로 보호되던 모든 비공개 지역 및 데이터에 범죄자들이 접근할 수 있게 되었다는 뜻”이라고 한다. “게다가 로그에 대한 접근도 가능하게 되니, 자신들의 행위를 감출 수도 있게 됩니다.”
로템과 로카가 이 DB를 발견한 건 8월 5일의 일이다. 이들은 8월 7일 슈프리마에 연락을 취했지만 아무런 답장이 없었다. 바이오스타 2의 GDPR 담당자에게도 메일을 보냈지만 역시 답장이 없었다고 한다. 그래서 유럽의 사무실에 전화를 했다. 독일 사무소에 전화했더니 곧바로 끊겼다. 프랑스 사무소는 조금 더 협조적이긴 했지만 실제로 도움이 되지는 않았다. 그리고 해당 DB는 13일부터 접근이 불가능하게 바뀌었다.
“슈프리마의 웹사이트를 통해 검색해보니, 마케팅과 세일즈의 부회장이 ‘256비트 AES 알고리즘 등 암호화 도구와 기술을 사용했기 때문에 생체 인증에 활용하는 오리지널 이미지에 접근하거나 재생산해서 인증 기술을 우회하는 일이 불가능하다’고 설명하는 부분이 있더군요. 그런데 저희가 발견한 DB의 상태를 보니 ‘이게 정말 사실일까?’하는 의문이 들 수밖에 없었습니다. 암호화로 처리된 흔적을 거의 발견할 수 없었거든요.”
슈프리마는 영국의 가디언지와의 인터뷰를 통해 “명확한 위협거리가 슈프리마의 제품이나 서비스에서 발견된다면, 고객의 안전을 위해 즉시 행동에 나서고 고지할 것”이라고 말했다. 그 외에는 별다른 발표가 없다. 본지는 문의 사항을 보낸 상태며, 월요일까지 입장을 정리하겠다는 답변을 받았다.
3줄 요약
1. 23기가바이트의 개인 식별 정보가 저장된 DB, 노출된 채 1주일 정도 열려 있었음.
2. 생체 인증 정보도 다수 포함. 알고 보니 슈프리마라는 한국 보안 회사의 것이었음.
3. 지금은 문제의 DB 닫힌 상태지만, 보안 신고에 대한 슈프리마의 대응은 비협조적.
[국제부 문가용 기자(globoan@boannews.com)]
웹사이트엔 ‘암호화 기술 사용’...하지만 DB에서는 대부분 정보가 평문으로 저장
[보안뉴스 문가용 기자] 보안 설정이 잘못되어 인터넷에 노출된 서버가 또 다시 발견됐다. 하필이면 엄청난 수의 개인정보가 암호화 되지 않은 채 저장되어 있는 서버였다고 한다. 심지어 생체 인증을 위한 정보도 포함되어 있었다.
[이미지 = iclickart]
이 데이터베이스는 한국의 생체 인증 전문 기업인 슈프리마(Suprema)의 것으로 나타났다. 이러한 사실을 처음 발견해 공개한 건 이스라엘의 보안 전문가인 노암 로템(Noam Rotem)과 란 로카(Ran Locar)로, “어마어마한 정보들이 엘라스틱서치(Elasticsearch) 기반 DB에 저장되어 있었고, 브라우저를 통해 쉽게 접근이 가능했다”고 말했다.
데이터는 슈프리마의 바이오스타 2(Biostar 2)라는 애플리케이션과 관련이 있는 것이었다. 바이오스타 2는 웹 기반 생체 인증 보안 스마트락 플랫폼으로, 관리자가 안면인식과 지문인식 기술을 사용해 특정 구역에 대한 접근을 통제할 수 있게 해준다. 서드파티 보안 앱과 통합할 수도 있고, 사용자 행동 로그도 기록 및 관리할 수 있다. 전 세계에 150만 번 이상 설치된 제품이다.
이스라엘의 두 전문가들이 접근할 수 있었던 데이터의 양은 ‘2780만 건의 기록’으로, 용량은 23 기가바이트였다고 한다. 클라이언트의 대시보드에 접근하기 위한 정보, 암호화 되지 않은 사용자 이름과 비밀번호, ID, 안전 구역에 드나든 기록, 보안 권한 등급, 집 주소, 이메일 주소, 모바일 장비 관련 정보, OS 정보가 포함된 기록들이었다.
가장 치명적이라고 꼽히는 건 지문과 안면 정보가 암호화 되지 않은 채 노출되어 있었다는 점이다. 생체 인식 기술에 사용되는 디지털 정보는 물론 이미지 정보들까지 저장되어 있었다. 이런 정보들은 비밀번호와 달리 변경이 불가능한 것이기 때문에 유출이나 노출이 절대 일어나서는 안 된다고 보안 전문가들은 수년 전부터 경고해왔는데, 그 일이 정말로 일어난 것이다.
물론 생체 인증 정보가 새나간 것이 이번이 처음 있는 일은 아니다. 2015년 미국 OPM 해킹 사건 당시 110만 명의 지문 정보가 유출되기도 했었다. 그러나 슈프리마의 사건은 생체 인증 정보와 더불어 관리자 계정 정보가 평문으로 노출되었다는 점에서 그 위험성이 궤를 달리한다고 이스라엘의 전문가들은 평한다. “공격자들이 현존하는 보안 환경 설정 내용을 변경할 수도 있습니다. 중요 사용자들이 로그인하지 못하도록 만들 수도 있고, 자신들의 지문을 가지고 계정들을 새롭게 만들어 공격 지속성을 확보할 수도 있습니다.”
그 말은 즉 “바이오스타 2로 보호되던 모든 비공개 지역 및 데이터에 범죄자들이 접근할 수 있게 되었다는 뜻”이라고 한다. “게다가 로그에 대한 접근도 가능하게 되니, 자신들의 행위를 감출 수도 있게 됩니다.”
로템과 로카가 이 DB를 발견한 건 8월 5일의 일이다. 이들은 8월 7일 슈프리마에 연락을 취했지만 아무런 답장이 없었다. 바이오스타 2의 GDPR 담당자에게도 메일을 보냈지만 역시 답장이 없었다고 한다. 그래서 유럽의 사무실에 전화를 했다. 독일 사무소에 전화했더니 곧바로 끊겼다. 프랑스 사무소는 조금 더 협조적이긴 했지만 실제로 도움이 되지는 않았다. 그리고 해당 DB는 13일부터 접근이 불가능하게 바뀌었다.
“슈프리마의 웹사이트를 통해 검색해보니, 마케팅과 세일즈의 부회장이 ‘256비트 AES 알고리즘 등 암호화 도구와 기술을 사용했기 때문에 생체 인증에 활용하는 오리지널 이미지에 접근하거나 재생산해서 인증 기술을 우회하는 일이 불가능하다’고 설명하는 부분이 있더군요. 그런데 저희가 발견한 DB의 상태를 보니 ‘이게 정말 사실일까?’하는 의문이 들 수밖에 없었습니다. 암호화로 처리된 흔적을 거의 발견할 수 없었거든요.”
슈프리마는 영국의 가디언지와의 인터뷰를 통해 “명확한 위협거리가 슈프리마의 제품이나 서비스에서 발견된다면, 고객의 안전을 위해 즉시 행동에 나서고 고지할 것”이라고 말했다. 그 외에는 별다른 발표가 없다. 본지는 문의 사항을 보낸 상태며, 월요일까지 입장을 정리하겠다는 답변을 받았다.
3줄 요약
1. 23기가바이트의 개인 식별 정보가 저장된 DB, 노출된 채 1주일 정도 열려 있었음.
2. 생체 인증 정보도 다수 포함. 알고 보니 슈프리마라는 한국 보안 회사의 것이었음.
3. 지금은 문제의 DB 닫힌 상태지만, 보안 신고에 대한 슈프리마의 대응은 비협조적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
