Offcanvas

보안

예일대학, FTP서버로 4만여 명의 개인 정보 유출

2011.08.23 Jaikumar Vijayan  |  Computerworld
예일대학교가 약 4만3,000 교직원, 학생 및 동문에 대해 이름과 사회보장번호가 공개돼 약 10개월 동안 구글 검색으로 이들 정보를 찾아볼 수 있었다며 주의할 것을 당부했다.

피해자들은 모두 1999년에 예일과 관련 있는 사람들로 2년 동안 신분 도용 보험 및 무료 신용 모니터링 서비스에 쓰였다고 대학 당국은 지난주에 밝혔다.

“데이터가 저장된 FTP(File Transfer Protocol) 서버가 구글에서 검색할 수 있게 되면서 정보 유출이 시작된 것으로 밝혀졌다. 구글의 검색 확장은 지난해 9월에 시작됐다”라고 예일 데일리 뉴스는 보도했다.

예일 데일리 뉴스 온라인 판에 따르면, 예일 IT서비스 디렉터 렌 피터스는 “정보를 담고 있는 FTP 서버가 주로 오픈소스를 사용했다”라고 밝혔다.

“2010년 9월 구글은 자사 검색 엔진이 FTP 서버에서 정보를 찾을 수 있도록 바꿨다. 그러나 대학 IT담당자들은 이러한 변화를 인지하지 못했다”라고 피터스는 데일리 뉴스에 밝혔다.

예일은 올 6월 데이터 유출 사실을 발견했고 즉각적으로 서버를 오프라인으로 전환해 민감한 데이터를 삭제했으며 FTP 서버에 비슷한 데이터를 가지고 있는 다른 파일들이 있는지 여부에 대해 확인했다고 피터스는 말했다.

컴퓨터월드의 보도자료에서, 예일 당국은 데이터가 얼마나 유출됐는지에 대해서는 언급하지 않았다. 그러나 대학 당국은 정보 보안된 파일을 가지고 있고 구글이 자사 검색 엔진이 FTP에서 어떤 정보도 저장하고 있지 않다는 사실을 확인했다고 밝혔다.

보도자료는 예일이 정보유출 사실을 어떻게 알게 됐는지에 대해서는 밝히지 않았으며 누가 구글에서 이 데이터에 접근했는지도 언급하지 않았다. “유출된 정보가 저장된 파일과 디렉터리는 다른 사람이 봤을 수도 있는 아무 의미 없는 이름들이 들어있다”라고 피터스는 캠퍼스 말했다.

웹으로 민감한 데이터가 실수로 유포된 것과 관련해 2개월 안에 사고를 공식적으로 알린 것은 이번이 두번째다. 사우던 캐롤라이나 메디컬-리걸 컨설턴트(SCMLC)가 6월에 밝혔다. “캘리포니아에서 일하는 약 30만 명의 이름과 사회보장번호가 파일로 잠재적으로 유출됐다”라고 밝혔다. 이 사고는 데이터가 저장된 내부 서버가 웹으로 검색 가능해지면서 유출될 수 있음을 시사한다.

SCMLC는 보안 회사 아이덴터티 파인더(Identity Finder)에서 정보유출에 대한 교훈을 얻었다. 보도자료에서, 아이덴터티 파인더는 자사의 정보보호 조사원들이 SCMLC 서버에서 웹으로 유출된 기가바이트급의 개인 데이터를 포함한 압축되지 않은 파일 3,875개를 발견했다고 밝혔다.

“파일들은 암호화되지도 않았으며 비밀번호가 걸려있지도 않았다. 일부 파일들은 최소한 주요 검색 엔진 하나에서는 발견된다”라고 아이덴터티 파인더는 말했다. 이 회사는 구글과 함께 검색엔진 캐시를 정비한 적이 있다고 이 회사 대변인은 밝혔다. 현재 구글 캐시는 SCLMC의 민감한 개인 정보를 정리했다고 대변인은 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.