Security

미국 입양 단체, 110만 개인 민감 정보 노출시켜

JustAnotherEditor

6 min read
미국 입양 단체, 110만 개인 민감 정보 노출시켜
Photo by Sandy Millar / Unsplash
💡
Editor's Pick
- 텍사스의 글래드니입양센터, DB 관리 실패
- 110만 명의 개인정보와 개인사, 각종 평가지 노출
- 데이터 암호화는 기본...비밀번호 설정과 주기적 점검도 기본

미국의 한 입양 단체가 110만 건이 넘는 개인정보를 노출시키고 있다는 사실이 밝혀졌다. 이를 처음 발견한 보안 전문가 제레마이아 파울러(Jeremiah Fowler)는 “해당 데이터들은 암호화로 보호되지도 않았고, 데이터베이스 자체에도 암호가 걸리지 않았다”며 “기본적인 방어 조치가 하나도 이뤄지지 않은 채, 누구나 접속할 수 있는 상태로 열려 있었다”고 자신의 블로그를 통해 알렸다.

문제의 입양센터는 ‘글래드니입양센터(Gladney Center for Adoption)’로, 미국 텍사스에 위치해 있었다. 파울러는 총 2.49GB의 데이터를 찾아냈는데, “입양된 아동과 입양한 부모, 생물학적 부모와 가족 등 매우 민감한 정보로 구성돼 있었다”고 한다. 심지어 “센터 직원들의 개인정보도 포함돼 있었다”고 그는 밝혔다. 여기에는 아동과 가정에 대한 비공개 평가 자료와, 입양에 이르기까지 있었던 과정들을 모아둔 사건 일지까지 있었다. 

파울러는 “데이터의 양도 양이지만, 노출되어 있던 데이터의 성격 때문에 더 우려되는 사건”이라고 지적한다. “어떤 아동이나 가족이 어떤 성향을 가지고 있는지, 과거 개인사가 어땠는지, 입양 사유, 파양 사유, 각종 약물 복영 이력 등 어쩌면 이름이나 연락처보다 더 치명적일 수 있는 비밀들이 전부 열람 가능했습니다. 개개인에 따라 이는 평생 숨기고 싶은 정보일 수도 있는데 말이죠.”

공격자들도 이런 정보들을 선호한다. 개인 식별 정보에 더해 개인사와 관련된 민감 정보를 손에 넣게 되면 대단히 설득력 있는, 진짜보다 더 진짜 같은 사회 공학 공격을 실시할 수 있기 때문이다. 파울러도 이 점을 우려했다. “너무나 그럴 듯한 사기 시나리오를 짜기에 알맞은 정보들이 DB에 저장돼 있었습니다. 누군가 이 정보를 이미 가져갔다면, 이 센터를 사용해본 적 있는 사람들은 위험에 처할 수 있습니다.”

파울러는 이 DB를 발견하자마자 해당 센터로 메일을 보내 상황을 알렸다. 다행히 글래드니 측은 즉각 DB를 비공개로 전환했다. 지금은 해당 DB에 접근할 수 없는 상태다. “하지만 그 전까지 DB가 얼마나 전체 공개 상태로 유지되어 있었는지, 그 기간 동안 누가 얼마나 접근해 어떤 데이터를 열람하거나 가져갔는지 아무도 알 수 없습니다. 이러한 종류의 사건에서는 늘 이러한 내용을 뚜렷하게 알 수 없어 찝찝합니다.”

보안의 기본, 암호화와 비밀번호

사용자 기업이나 단체가 DB를 제대로 관리하지 못해 유출되는 데이터의 규모는 천문학적이다. 해커들 중에 이런 식으로 ‘그냥 노출된’ 상태의 DB를 전문적으로 찾아내는 부류들이 존재할 정도다. 해킹 공격을 할 필요도 없이, 그저 URL만 알아내 접속하면 끝이기 때문에 해커들로서는 숨겨진 노다지를 찾는 것과 다름 없다. 이렇게 다크웹으로 흘러들어간 데이터가, 실제 정보 탈취 공격을 통해 입수된 데이터보다 더 많다는 주장도 존재한다.

파울러도 이런 DB를 찾아내는 전문가로서 오랜 시간 보안 업계에서 활동해 왔다. 그는 “저장하는 정보 자체를 암호화 하는 게 기본이 되어야 한다”는 입장이다. “특히 개인정보나 아동들의 민감 정보만큼은 반드시 암호화 된 상태로 관리하는 게 맞다고 봅니다. 그러면 DB 관리에 실패해 정보가 노출된다 하더라도 피해를 최소화할 수 있기 때문입니다. 이런 파일 암호화 습관과 정책이 좀 더 보편화 될 필요가 있습니다.”

중요한 DB라면(즉, 민감 정보를 가득 담고 있는) 주기적으로 비밀번호를 확인하는 것도 중요하다고 파울러는 재차 강조한다. “어쩌다 비밀번호를 걸지 않는 실수를 할 수 있습니다. 그건 사람이라면 누구나 해봄직한 실수에요. 하지만 DB를 주기적으로 점검했다면 빠르게 알아낼 수 있는 실수이기도 하죠. 많은 회사나 단체들이 DB를 전체 공개로 해두고 있다는 건, 대부분 ‘주기적인 점검’을 하지 않는다는 뜻입니다.” 그리고 주기적 점검이 되지 않는다는 건 ‘보안 기본기’가 갖춰져 있지 않다는 뜻이기도 하다.

Read more

트럼프 추종자들만 쓰는 텔레메시지 앱, 민감 정보 노출

트럼프 추종자들만 쓰는 텔레메시지 앱, 민감 정보 노출

💡Editor's Pick - 시그널 기반 텔레메시지, 인증 메커니즘이 낡아 - 인증 과정 없이 특정 엔드포인트가 전체 공개돼 - 각종 민감 정보 포함될 수 있는 엔드포인트라 문제 보안 채팅 앱인 텔레메지시SGNL(TeleMessage SGNL)이 익스플로잇 공격에 노출됐다. 사용자들 간 오갔던 민감 정보들이 인터넷에 대량으로 노출됐다. 문제의 근원에는 CVE-2025-48927이라는 취약점이

By JustAnotherEditor
깃허브까지 섭렵한 다크웹 비즈니스맨, 멀웨어 유포 중

깃허브까지 섭렵한 다크웹 비즈니스맨, 멀웨어 유포 중

💡Editor's Pick - 깃허브 세 개 계정에 멀웨어 호스팅 되어 있어 - 2월에까지 거슬러 올라가는 캠페인...표적은 우크라이나 - 개발자들의 둥지인 깃허브, 곧 해커들의 둥지가 될 수도 개발자들 사이에서 널리 사용되는 코드 리포지터리인 깃허브(GitHub)가 멀웨어 배포처로서 악용됐다. 시스코(Cisco)의 탈로스(Talos) 팀이 지난 4월 발견한

By JustAnotherEditor
AI 휴머노이드 데이터 경량화 등 융합연구 본격 착수

AI 휴머노이드 데이터 경량화 등 융합연구 본격 착수

💡Editor Pick - 6개 신규 과제 선정… 216억 원 투입 - 미래 기술 경쟁력 확보·글로벌 협력 강화 - 친환경·저전력 신기술 개발 집중 과학기술정보통신부가 인공지능(AI) 휴머노이드 데이터 경량화와 에너지 효율화 등 첨단 융합연구에 본격 착수한다. 사업은 국내·외 최고 연구진의 공동 연구와 미래 신기술 선점, 산업 패러다임 변화를

By CheifEditor
문신학 산업부 1차관, "제조업 AX, 관계 부처간 협조해야"

문신학 산업부 1차관, "제조업 AX, 관계 부처간 협조해야"

💡Editor Pick - “AI 기술, 연구 현장‧데이터센터‧제조‧생산 현장 스며들 때 AI 강국 될 것” - 각 소관 분야, 제조업 AX와 관련 추진 현황‧애로 사항‧부처간 협업 논의 제조업 AX 확산을 위해선 관계 부처간의 협조가 중요하단 의견이 제기됐다. 문신학 산업통상자원부 1차관은 16일 대한상공회의소에서 열린 관계부처 합동회의에서 “AI

By CheifEditor