이스라엘 VPN 감시 서비스 기업인 VPN멘토(vpnMentor)가 보안 서비스 바이오스타2(BioStar 2)에 대한 대규모 데이터 유출을 밝혔다. 유출 데이터에는 생체 인증에 이용하는 지문이나 얼굴 사진 외에 암호화하지 않은 ID나 암호 등 2,700만 건 넘는 데이터가 포함되어 있었다고 한다.
데이터 유출이 지적된 바이오스타2는 슈프리마(Suprema)가 정부기관과 은행, 대학, 방위산업체, 경찰, 다국적기업 등 전 세계 150만개소 시설에 제공하는 보안 서비스다. 보안 분야에서 전 세계 상위 50개 기업에 포함된 곳으로 유럽과 중동, 아프리카 지역에선 생체 인증 서비스 분야 점유율 1위이기도 하다.
슈프리마는 지난 7월 83개국 5,700곳 시설에서 이용하는 액세스 제어 시스템인 AEOS를 바이오스타2 시스템과 통합해 데이터베이스 확충에 나섰다. VPN멘토 측은 슈프리마의 다른 프로젝트 중 바이오스타2 데이터베이스가 암호화되지 않은 상태에서 오픈 인터넷에 저장되어 있는 걸 우연히 발견했다. 웹브라우저로 손쉽게 볼 수 있고 사용자 ID와 암호, 사용자명 같은 정보나 데이터베이스 구축에 이용하는 오픈소스 소프트웨어인 엘라스틱서치(Elasticsearch) 분석 콘솔까지 볼 수 있다.
이 데이터베이스는 2,780만 건 이상 레코드, 23GB에 이른다. 여기에는 클라이언트의 지문이나 얼굴 인식 데이터, 얼굴 사진, 사용자명, 암호, 출입기록과 직원 주소와 이메일 주소 등 개인 정보, 모바일기기 운영체제 정보를 포함하고 있다. VPN멘토는 정보 유출 피해를 입은 기업 일부를 예로 공개하기로 했다.
VPN멘토는 지난 8월 5일 이 문제를 확인하고 이메일로 슈프리마에 통보했지만 몇 차례 메일에도 응답이 없었다고 한다. 결국 프랑스 지사 지원 하에 데이터베이스를 폐쇄했지만 대응 조치를 할 수 있게 된 건 VPN멘토가 문제를 발견하고 일주일 이상이 지난 8월 13일이었다고 한다.
VPN멘토 측은 바이오스타2 업체가 기본적인 보안 대책을 강구하고 있다면 이런 유출은 손쉽게 피할 수 있었을 것이라면서 데이터베이스는 이미 악성 해커 손에 들어갔을 가능성을 지적하면서 피해를 입은 고객과 사용자에게 빠른 조치를 취해야 한다고 권하고 있다. 관련 내용은 이곳에서 확인할 수 있다.