써드파티 업체의 부주의로 호주 적십자에서 헌혈자 개인정보가 담긴 파일을 암호화되지 않아 55만 명의 정보가 유출되는 사고가 발생했다.
Credit: IDGNS
호주 적십자는 써드파티 업체의 계약직 직원의 실수로 헌혈자 개인 정보가 유출된 사실을 발견했다고 밝혔다.
현재 가장 큰 문제는 얼마나 많은 사람들이 이 데이터를 가졌는지 아무도 모른다는 것이다. 2010년부터 2016년까지 정보는 올해 9월 5일부터 10월 25일까지 웹사이트에 이용할 수 있었다.
보안 연구원인 트로이 헌트에 따르면, 약 130만 건의 기록이 담긴 1.74GB의 데이터베이스 백업에는 이름, 성별, 집 주소, 이메일 주소, 전화번호, 생년월일, 혈액형, 생년월일, 국가, 과거 헌혈 여부 등 헌혈자에 대한 정보가 포함돼 있다.
28일 개인 정보 유출에 관한 사과문에서 호주 적십자는 혈액 서비스 웹사이트를 개발하고 유지보수하는 써드파티 업체가 헌혈자 정보를 담은 파일을 안전하지 않은 환경에서 관리한다는 것을 10월 26일 알게 됐다고 말했다.
호주 적십자에 따르면, 정보가 보안 취약점을 스캔했던 사람이 이 정보를 복사했고 나중에 중개인을 통해 호주 사이버 긴급대응팀(AusCERT)에게 누가 혈액 서비스 회원인지 알려졌다.
"우리는 기록저장소의 모든 사본이 삭제되도록 관리했고 웹 개발자용 서버에서 취약점을 제거했다”고 호주 적십자는 덧붙였다. 써드파티 업체는 전문 팀과 계약을 맺고 정보 유출 사고의 포렉식 조사를 의뢰했으며 혈액 서비스의 보안 구조와 거버넌스 체계를 점검하도록 했다.
헌트는 25일 아침 혈액 서비스 웹사이트인 donateblood.com.au에서 데이터를 발견한 누군가가 공식적으로 디렉터리 목록으로 돌아가는 노출된 내부 IP 주소를 훑어보고 자신에게 연락을 취했다고 밝혔다. 헌트에 따르면, 백업 데이터베이스는 디렉터리 브라우저가 서버에서 나타날 수 있도록 하는 웹사이트에 정보를 뿌려줬다.
헌트는 "이 사건으로 설명된 이유로, 서버 파일 내용의 목록을 공식적으로 보여주는 것은 잘 알려진 위험이고 여기에 정당성은 거의 없다”고 전했다.
그는 미국 등 많은 나라에 있는 컴퓨터 비상 대응 역할을 하는 호주의 AusCERT에 이를 알리고 적십자에 연락하라고 말했다. ciokr@idg.co.kr