모질라 재단이 1일, 데이터베이스의 오류로 인해 자사의 개발자 웹사이트에서 수만 건의 개인정보가 유출됐다고 밝혔다.
모질라 개발 협력부의 책임자 스토미 피터스와 운용 보안 관리자 조 스티븐슨은 “개발자 네트워크(Mozilla Development Network, MDN) 서버에 저장된 7만 6,000명 사용자의 이메일 주소가 외부로 유출됐다. 그 가운데 4,000명은 암호화된 비밀번호도 함께 공개됐다”고 공식 블로그 게시물을 통해 밝혔다.
모질라는 “문제가 발생한 서버에는 어떠한 악성 활동도 탐지되지 않았다. 하지만 그렇다고 해서 데이터가 열람되지 않은 것은 아니다”라고 설명했다.
유출 사실은 열흘 전, MDN 데이터베이스의 데이터 영구 삭제(data sanitization) 프로세스가 동작하지 않는다는 것을 발견한 웹 개발자의 제보로 드러났다. 유출은 6월 23일경에서 시작해 약 한 달에 걸쳐 지속됐다고 한다.
모질라 측은 "이 사실을 알게 되자마자 데이터베이스 덤프 파일을 서버로부터 즉각적으로 제거하고 추가적인 유출을 막기 위해 덤프를 생성하는 프로세스 기능을 비활성화시켰다”고 설명했다.
모질라는 이어 “이메일 주소가 유출된 개발자들에게 개별적으로 통보를 하고 있다. 또한, 유출된 비밀번호들은 암호화 과정과 ‘솔트(salted)’ 방식으로 처리되어 있기 때문에 정보를 완전히 빼내는 것은 매우 어렵다. 패스워드 해시가 공개된 계정에 한해서 MDN 웹사이트 인증에 사용될 수 없도록 조치를 취했기 때문에 암호화를 푸는데 성공했다 해도 이를 악용할 수는 없을 것”이라고 밝혔다.
모질라는 이 사고에 대해 “매우 죄송할 따름이다. 피해 사용자들에게 유출 사실을 통보하고 단기적인 해결 방안을 제시하는 데에서 그치지 않고 이러한 일이 다시는 일어나지 않도록 만반의 준비를 갖추겠다”라고 말했다. editor@itworld.co.kr