.jpg)
해커가 모우다 시스템에서 직접 추출한 덤프 형식의 개인정보, 블랙마켓에 공개
모우다 “유출된 데이터의 진위나 범위, 개인정보 항목과 유출시점 파악 어려워”
데이터 구조의 유사성 파악한 후, 홈페이지 통해 이용자에게 통지, KISA에 신고
보안전문가, “2020년경 유출된 것으로 최근까지 피해사실 몰랐다면 문제”
[보안뉴스 김경애 기자] 지난 5월 2일 의료금융 플랫폼 ‘모우다’에서 유출된 것으로 추정되는 개인정보가 블랙마켓에 올라온 정황이 포착됐다.
▲모우다의 메인 홈페이지 화면[이미지=홈페이지 캡처]
지난 2일 클라우드에 있는 모우다의 데이터베이스들이 다크웹에 공개됐다. 유출된 정보는 최근 발견됐지만, 유출 시점은 지난 2020년경으로 해킹 공격으로 인해 유출된 것으로 추정되고 있다. 이로 인해 해당 데이터가 장기간 외부에 유·노출됐을 가능성이 높다.
특히 주목되는 건 해당 파일 형식이 해커가 해킹으로 빼낸 덤프 형식이었는데, 해커는 수백기가가 유출된 사이트들을 모아 공개했다. 유·노출된 개인정보는 학교명, 학년, 직업, 계정정보 등이며, 계정정보는 네이버, 네이트, 한메일 등이다.
▲덤프 형태의 데이터 속에 포함된 개인정보 데이터[자료=제보자]
이에 <보안뉴스>는 지난 5월 3일 사실 확인을 위해 모우다 측에 블랙마켓에 올라온 해킹 정황에 대해 설명했으며, 제보자의 동의를 받아 제보한 유·노출 정황 이미지를 메일로 전달했다. 현재 모우다는 정보보호 전담조직이 없는 것으로 파악됐다. 해당 이슈는 개발팀에서 대응했으며, 추후 사실 여부가 확인되는 대로 메일로 답변을 보내기로 했다.
그리고 11일이 지난 5월 14일 모우다가 공식 입장을 보내왔다. 모우다 측은 “제공받은 자료로 볼 때 2020년 3월 이전 모우다의 데이터 구조와 유사성이 있음을 확인했다”며 “온라인투자연계금융업 등록으로 인해 데이터의 구조가 크게 변경됐고, 서버 이전으로 인해 2020년 이전의 서버접근 기록을 확인하기 어려운 상황이다. <보안뉴스>에서 보내준 자료로 유출된 데이터의 진위나 범위, 개인정보 항목, 유출 시점을 파악하기는 어렵다”는 입장을 보내왔다.
이어 모우다 측은 “해킹을 통한 유출 가능성을 알려주고, 과거 모우다 데이터 구조와의 유사성을 파악한 즉시 지난 9일 홈페이지 공지사항에 ‘[주요공지] 개인정보 유출 의심 정황이 확인되어 통지드리며 깊이 사과드립니다.’란 제목으로 이용자들에게 통지하고, 한국인터넷진흥원에 침해 및 유출신고를 진행했다”며 “향후 추가 조사에 따라 이용자들에게 즉시 추가 통지 예정”이라고 전했다.
이어 모우다 측은 “현재 온라인투자연계금융업 전산 요건에 따라 내·외부망 분리, 인증서 암호화 방식, 외부 서버접근 차단, 방화벽 강화, 보안관제 시스템 적용 등 개인정보보호를 위한 시스템을 유지하고 있다”며 “정기적으로 외부기관으로부터 보안취약점 점검을 받고 있다”고 밝혔다.
이와 관련 익명을 요청한 보안전문가는 “피해자는 클라우드 서비스를 이용해 데이터베이스를 운영했으나 해킹을 통해 데이터베이스가 유출된 것 같다”며 “최근에 많은 서비스들이 클라우드를 통해 운영되지만 제대로 된 보안 설정을 하지 않아 해킹되는 경우가 많다”고 우려했다. 이어 그는 “2020년경에 유출되어 최근까지 다크웹 등에서 유출 자료가 외부로 노출됐음에도 불구하고, 이 사실을 오랫동안 피해 기업이 몰랐다는 점은 큰 문제”라고 지적했다.
또한 리니어리티 한승연 대표는 “유출된 DB 덤프 중 member 테이블의 경우 ‘--add-drop-table’ 옵션이 사용된 것을 볼 수 있는데, 이는 보통 개발자나 운영자들이 사용하는 옵션”이라면서, “공격자가 DB서버에 대한 접근 권한을 얻는 데는 실패했을 수도 있고, 해킹한 서버에 남아 있던 DB 덤프 혹은 백업 파일을 획득한 것일 수도 있다”고 예측했다. 그러면서 한 대표는 “DMZ 웹 서버 등에 민감한 정보가 파일 형태로 존재할 경우 공격자에 의해 외부로 유출될 수 있어 불필요한 파일이라면 삭제하거나 별도의 백업 서버로 이관하는 등의 보호조치가 필요하다”고 당부했다.
위즈코리아 김훈 부문장은 “강화된 개인정보보호법에 따라 개인정보 유출사고 발생시 ‘전체 매출액의 3%’로 조정되어 높은 과징금이 부과되고 있다”며 “최근 G사에 ‘75억’ 과징금이 부과되는 등 개인정보 유출사고가 급증하고 있다”고 우려했다. 이어 김 부문장은 “공공기관의 개인정보 유출을 방지하기 위해 개인정보의 안전성 확보조치 기준에서 중요한 시스템 대상을 선정했고, 접근 권한 관리, 접속기록 관리, 소명 관리를 하는 3단계 안전조치를 의무화하고 있다”며 “개인정보 접속기록 관리 솔루션을 도입해 다운로드 등 이상 행위를 분석하고 탐지된 이상행위는 통합 소명 관리 시스템을 적용해 자동화된 프로세스로 사유 관리를 해야 한다”고 설명했다.
더열심히 김성훈 CISO는 “모든 IT 서비스를 위한 사용자의 계정과 관련 정보는 데이터베이스에 저장된다”며 “데이터베이스 자체와 데이터베이스에 접근할 수 있는 애플리케이션이 실행되는 서버에 대한 접근제어가 무엇보다 중요하다”고 강조했다. 이어 김 CISO는 “서버 접근 권한을 제한하고, 사후 감사 보안 솔루션을 구축해야 한다”며 “보안의 핵심은 일상적이고 정기적인 모니터링 활동인 만큼 작은 조직이라도 정보보호 전담인력을 갖춰야 한다”고 말했다.
이는 일반적으로 보안 시스템이 잘 갖추어진 서버보다는 내부 직원의 업무용 PC, 단말 등을 대상으로 해킹 공격을 할 경우 성공률이 더 높기 때문이다. 따라서 엔드포인트 보안 솔루션 도입과 함께 임직원 대상의 보안인식 제고 교육이 병행될 필요가 있다.
그러면서 김성훈 CISO는 “만약 외부 협력업체 또는 내부 운영자가 외부에서 내부 시스템에 접속할 필요가 있다면 이중인증 등을 통해 부정한 접속 가능성을 차단해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
모우다 “유출된 데이터의 진위나 범위, 개인정보 항목과 유출시점 파악 어려워”
데이터 구조의 유사성 파악한 후, 홈페이지 통해 이용자에게 통지, KISA에 신고
보안전문가, “2020년경 유출된 것으로 최근까지 피해사실 몰랐다면 문제”
[보안뉴스 김경애 기자] 지난 5월 2일 의료금융 플랫폼 ‘모우다’에서 유출된 것으로 추정되는 개인정보가 블랙마켓에 올라온 정황이 포착됐다.
▲모우다의 메인 홈페이지 화면[이미지=홈페이지 캡처]
지난 2일 클라우드에 있는 모우다의 데이터베이스들이 다크웹에 공개됐다. 유출된 정보는 최근 발견됐지만, 유출 시점은 지난 2020년경으로 해킹 공격으로 인해 유출된 것으로 추정되고 있다. 이로 인해 해당 데이터가 장기간 외부에 유·노출됐을 가능성이 높다.
특히 주목되는 건 해당 파일 형식이 해커가 해킹으로 빼낸 덤프 형식이었는데, 해커는 수백기가가 유출된 사이트들을 모아 공개했다. 유·노출된 개인정보는 학교명, 학년, 직업, 계정정보 등이며, 계정정보는 네이버, 네이트, 한메일 등이다.
▲덤프 형태의 데이터 속에 포함된 개인정보 데이터[자료=제보자]
이에 <보안뉴스>는 지난 5월 3일 사실 확인을 위해 모우다 측에 블랙마켓에 올라온 해킹 정황에 대해 설명했으며, 제보자의 동의를 받아 제보한 유·노출 정황 이미지를 메일로 전달했다. 현재 모우다는 정보보호 전담조직이 없는 것으로 파악됐다. 해당 이슈는 개발팀에서 대응했으며, 추후 사실 여부가 확인되는 대로 메일로 답변을 보내기로 했다.
그리고 11일이 지난 5월 14일 모우다가 공식 입장을 보내왔다. 모우다 측은 “제공받은 자료로 볼 때 2020년 3월 이전 모우다의 데이터 구조와 유사성이 있음을 확인했다”며 “온라인투자연계금융업 등록으로 인해 데이터의 구조가 크게 변경됐고, 서버 이전으로 인해 2020년 이전의 서버접근 기록을 확인하기 어려운 상황이다. <보안뉴스>에서 보내준 자료로 유출된 데이터의 진위나 범위, 개인정보 항목, 유출 시점을 파악하기는 어렵다”는 입장을 보내왔다.
이어 모우다 측은 “해킹을 통한 유출 가능성을 알려주고, 과거 모우다 데이터 구조와의 유사성을 파악한 즉시 지난 9일 홈페이지 공지사항에 ‘[주요공지] 개인정보 유출 의심 정황이 확인되어 통지드리며 깊이 사과드립니다.’란 제목으로 이용자들에게 통지하고, 한국인터넷진흥원에 침해 및 유출신고를 진행했다”며 “향후 추가 조사에 따라 이용자들에게 즉시 추가 통지 예정”이라고 전했다.
이어 모우다 측은 “현재 온라인투자연계금융업 전산 요건에 따라 내·외부망 분리, 인증서 암호화 방식, 외부 서버접근 차단, 방화벽 강화, 보안관제 시스템 적용 등 개인정보보호를 위한 시스템을 유지하고 있다”며 “정기적으로 외부기관으로부터 보안취약점 점검을 받고 있다”고 밝혔다.
이와 관련 익명을 요청한 보안전문가는 “피해자는 클라우드 서비스를 이용해 데이터베이스를 운영했으나 해킹을 통해 데이터베이스가 유출된 것 같다”며 “최근에 많은 서비스들이 클라우드를 통해 운영되지만 제대로 된 보안 설정을 하지 않아 해킹되는 경우가 많다”고 우려했다. 이어 그는 “2020년경에 유출되어 최근까지 다크웹 등에서 유출 자료가 외부로 노출됐음에도 불구하고, 이 사실을 오랫동안 피해 기업이 몰랐다는 점은 큰 문제”라고 지적했다.
또한 리니어리티 한승연 대표는 “유출된 DB 덤프 중 member 테이블의 경우 ‘--add-drop-table’ 옵션이 사용된 것을 볼 수 있는데, 이는 보통 개발자나 운영자들이 사용하는 옵션”이라면서, “공격자가 DB서버에 대한 접근 권한을 얻는 데는 실패했을 수도 있고, 해킹한 서버에 남아 있던 DB 덤프 혹은 백업 파일을 획득한 것일 수도 있다”고 예측했다. 그러면서 한 대표는 “DMZ 웹 서버 등에 민감한 정보가 파일 형태로 존재할 경우 공격자에 의해 외부로 유출될 수 있어 불필요한 파일이라면 삭제하거나 별도의 백업 서버로 이관하는 등의 보호조치가 필요하다”고 당부했다.
위즈코리아 김훈 부문장은 “강화된 개인정보보호법에 따라 개인정보 유출사고 발생시 ‘전체 매출액의 3%’로 조정되어 높은 과징금이 부과되고 있다”며 “최근 G사에 ‘75억’ 과징금이 부과되는 등 개인정보 유출사고가 급증하고 있다”고 우려했다. 이어 김 부문장은 “공공기관의 개인정보 유출을 방지하기 위해 개인정보의 안전성 확보조치 기준에서 중요한 시스템 대상을 선정했고, 접근 권한 관리, 접속기록 관리, 소명 관리를 하는 3단계 안전조치를 의무화하고 있다”며 “개인정보 접속기록 관리 솔루션을 도입해 다운로드 등 이상 행위를 분석하고 탐지된 이상행위는 통합 소명 관리 시스템을 적용해 자동화된 프로세스로 사유 관리를 해야 한다”고 설명했다.
더열심히 김성훈 CISO는 “모든 IT 서비스를 위한 사용자의 계정과 관련 정보는 데이터베이스에 저장된다”며 “데이터베이스 자체와 데이터베이스에 접근할 수 있는 애플리케이션이 실행되는 서버에 대한 접근제어가 무엇보다 중요하다”고 강조했다. 이어 김 CISO는 “서버 접근 권한을 제한하고, 사후 감사 보안 솔루션을 구축해야 한다”며 “보안의 핵심은 일상적이고 정기적인 모니터링 활동인 만큼 작은 조직이라도 정보보호 전담인력을 갖춰야 한다”고 말했다.
이는 일반적으로 보안 시스템이 잘 갖추어진 서버보다는 내부 직원의 업무용 PC, 단말 등을 대상으로 해킹 공격을 할 경우 성공률이 더 높기 때문이다. 따라서 엔드포인트 보안 솔루션 도입과 함께 임직원 대상의 보안인식 제고 교육이 병행될 필요가 있다.
그러면서 김성훈 CISO는 “만약 외부 협력업체 또는 내부 운영자가 외부에서 내부 시스템에 접속할 필요가 있다면 이중인증 등을 통해 부정한 접속 가능성을 차단해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
