이원영 기자
도메인 등록과 렌탈 서버 서비스를 제공하는 고대디(GoDaddy) 서비스 중 하나인 매니지드 워드프레스(Managed WordPress)가 공격을 받아 최대 120만 명에 달하는 사용자 정보가 유출된 것으로 밝혀졌다. 또 매니지드 워드프레스를 서비스 내에서 제공하는 도메인 등록 레지스트리나 웹호스팅 기업에도 피해가 확대되고 있다고 보고됐다.
고대디가 미국증권거래위원회 SEC에 실시한 보고에 따르면 매니지드 워드프레스 호스팅 환경에서 부정한 제3자 액세스가 확인된 건 2021년 11월 17일이라고 한다. 곧바로 조사를 진행한 결과 2021년 9월 16일부터 허가되지 않은 제3자가 취약성을 이용해 고객 정보에 액세스하고 있던 게 판명됐다.
매니지드 워드프레스를 사용하는 활성·비활성 사용자 최대 120만 명 이메일 주소와 고객 번호, 이메일 주소 유출로 피싱 공격 위험성이 있다. 다음은 프로비저닝에서 설정된 원본 워드프레스 관리자 암호. 이 때문에 자격증명이 이용 가능하게 될 수 있어 고대디는 암호 재설정을 실시했다. 활성 고객에 있어 SFTP나 데이터베이스 유저명, 암호가 유출되어 이 역시 재설정을 수행했다. 일부 활성 사용자에 있어 SSL과 프라이빗키가 유출되어 대상자를 향해 새로운 증명서 발행과 인스톨을 실시했다.
고대디 측은 사건을 확인한 직후 허가되지 않은 제3자를 시스템에서 차단했다며 추가 보호 조치로 프로비저닝 시스템을 강화하고 있다고 밝혔다.
11월 23일에는 매니지드 워드프레스를 제품 내에서 다루고 있던 여러 서비스(tsoHost , Media Temple , 123 Reg , DomainFactory , Heart Internet , Host Europe)가 정보 유출 영향을 받고 있다는 게 밝혀졌다.
보안 연구자에 따르면 고대디는 지난 3년간 비슷한 정보 유출을 3회 경험하고 있다고 한다. 고대디는 500만 건 이상 웹사이트를 호스팅하는 3만 5,000대 이상 서버를 보유하고 있으며 과거 여러 차례 사이버 공격을 받은 경위로 표적이 되기 쉽다고 한다. 고대디에 의존해 비즈니스를 수행하는 수백만 명은 이런 공격에 심각한 영향을 받는다. 고객 데이터가 안전하게 보호되도록 고대디는 사이버 공격 위협을 방지하는 적절한 제어 시스템을 구현해야 한다는 지적이다. 또 고대디는 이번 공격에 따라 비밀번호와 비밀키 재설정을 실시했지만 이것으로는 불충분하다는 지적도 나온다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
