이메일 주소와 비밀번호, 내부 개발자와 마케터 위한 문건 등 다양한 정보 있어
마케팅 업체들의 정보 수집 및 관리 행태 간접적으로 드러나기도

[보안뉴스 문가용 기자] 또 다른 AWS S3 스토리지 버킷이 인터넷에 고스란히 노출되어 있는 것이 발견됐다. 이런 사고들이 늘 그렇지만, 이 버킷 안에도 여러 정보가 저장되어 있었다고 보안 업체 업가드(UpGuard)가 발표했다. 이 버킷은 iPR 소프트웨어(iPR Software)라는 회사의 것이었다.


[이미지 = iclickart]

이 안에는 477000개의 이메일 주소와, 35000개의 해시 처리된 비밀번호가 저장되어 있었다. 그 외 사업체 관련 계정 정보, 문건, 관리자 시스템 크리덴셜 등도 발견됐다. 파일들 중 일부는 ‘전체 공개’로 설정되어 있었는데, iPR 소프트웨어에 소속된 개발자와 마케터들이 내부적으로 활용하던 것이었다. 심지어 구글, 트위터, 몽고DB의 계정 정보와 암호가 이런 식으로 저장되어 있기도 했다.

다음 클라이언트의 계정 정보와 비밀번호가 노출되기도 했다.
1) 제너럴일렉트릭
2) 제록스
3) 센추리링크(CenturyLink)
4) 포에버21
5) 던킨도너츠
6) 나스닥
7) 캘리포니아 법원
8) 머큐리 퍼블릭 어페어즈(Mercury Public Affairs)

“어떤 클라이언트의 경우는 비밀번호 정보가 같이 있기도 했고, 어떤 클라이언트는 그렇지 않기도 했습니다. 아직 이 차이가 명확히 드러난 건 아닙니다. 어쩌면 비밀번호가 있는 클라이언트는 iPR 소프트웨어에 접속 가능한 계정을 보유한 기업, 비밀번호가 없는 클라이언트는 연락처만 수집해놓은 상태인 기업 정도로 분류할 수 있겠습니다만, 확실한 건 아닙니다.” 업가드 측의 설명이다.

해당 아마존 S3 스토리지 버킷이 발견된 건 10월 중순의 일이다. 업가드가 이를 iPR 소프트웨어 측에 알린 건 10월 24일이었다. iPR 소프트웨어 측은 해당 사실을 인지하고 있다고 답변을 보냈으나, 해당 DB가 닫힌 건 한 달이 지난 11월 26일의 일이었다.

DB 내에 저장된 데이터는 플랫폼과 사용자 계정 관리를 위한 iPR의 내부 자원, iPR의 콘텐츠 관리 시스템을 통해 클라이언트들에게 전달되는 문건 등도 포함되어 있었다. 다운로드가 가능한 파일의 용량은 테라바이트를 넘어서고 있기도 했다.

“데이터의 속성을 보건데, 이 DB는 iPR 측이 고객들에게 라이선스를 제공하고 있는 콘텐츠의 관리 시스템용 백엔드로서 활용되고 있지 않았을까 추측이 됩니다. DB에 저장된 내부 문건을 통해 iPR 개발자들이 어떤 방식으로 플랫폼을 관리하고 있으며, 고객사의 디지털 마케팅에 어떤 식으로 도움이 되는지 상세히 알아내는 것도 가능했습니다.”

몽고DB 데이터베이스로부터 생성된 백업 정보가 저장된 폴더도 있었다. 여기에 가장 최근(2017년) 복사된 파일은 17GB의 용량을 가지고 있는 것으로 나타났다. 위에서 언급한 477000개 이메일 주소 역시 이 폴더에 저장되어 있었다.

업가드는 “이 DB로부터만 데이터가 유출된 게 아닐 수 있다”고 설명을 이어갔다. “여기서 유출된 크리덴셜 내에는 iPR의 트위터, 몽고DB, 구글 API에 접속할 수 있게 해주는 키 정보도 포함되어 있었습니다. 따라서 이를 통해 누군가 해당 서비스에 접속해 추가 정보를 가져갔을 수도 있습니다.”

그러면서 업가드는 “iPR은 대형 PR 및 마케팅 전문 업체이며, 여러 클라이언트를 위해 중앙화된 데이터 관리, 분석 및 접속 서비스를 제공한다”고 설명한다. “이런 업체들은 클라우드 관리를 더욱 철저히 해야 합니다. 이들로부터 노출되는 정보는 고객사의 사업 진행에 있어 치명적인 작용을 할 수 있기 때문입니다.”

3줄 요약
1. 마케팅 업체 iPR, 클라우드 설정 잘못해 수많은 민감 데이터 노출시킴.
2. 이메일 주소만 50만 건 정도. 각종 내부 개발자 및 마케터 문건도 같이 노출.
3. 트위터와 구글 계정 관련 크리덴셜도 있어 2차 피해가 있을 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>