테크레시피

항공사 실수로 공개한 서버 내 비행금지 대상자 목록이…

미국 커뮤트에어가 관리하는 서버가 보안으로 보호되지 않은 탓에 해커가 침입을 허용하고 저장 데이터를 유출시켜 버린 것으로 나타났다. 데이터에는 커뮤트에어 직원 개인 정보 외에도 테러 가담 의심 인물을 기재한 통칭 탑승 금지 목록(No Fly List)이라고 불리는 정보가 포함되어 있었다.

이곳 서버에는 직원 900명 여권 번호와 주소, 전화번호, 커뮤트에어가 운영하는 40개 이상 아마존 S3 버킷, 서버 사용자 자격증명 등이 기록되어 있었다고 한다. 그 중에서도 중요시된 데이터는 테러 가담 의심 인물을 기재하고 대상자가 여객기에 탑승하는 걸 막기 위해 사용되는 목록이었다.

커뮤트에어 서버에 접속한 스위스 소프트웨어 개발자 겸 해커인 마이어 아슨 클라임에 따르면 이 목록에는 모두 150만 건 항목이 있으며 이름이나 생년월일 등 개인 정보가 기재되어 있었다고 한다. 목록 중에는 러시아 무기상이나 아일랜드 준군사조직 IRA 멤버 등이 포함되어 있었다고 한다. 하지만 이름 철자를 바꾸거나 가명을 사용한 사람도 포함되어 있기 때문에 목록에 기재된 인원수는 150만 명을 훨씬 밑돌게 된다고 한다.

목록에는 아랍어와 중동계, 히스패닉계도 다수 포함되어 있었지만 방대한 데이터베이스임에도 아랍어와 러시아계 이름만 기재되어 있는 건 이상한 일이라는 지적이다. 이 목록은 원래 16명 정보를 기재한 리스트로 관리되고 있었지만 미국에서 동시 다발 테러 사건 등이 발생해 서서히 대상자가 증가해갔다고 한다. 하지만 동성동명 인물이 오검지될 수 있는 것 외에 전혀 죄가 없는 사람이 목록에 기재되어 있다는 이유로 인권단체 등에 의해 지적된 바 있다.

목록 내 불투명함을 오랫동안 비판해온 미국자유인권협회는 감시 목록 대상이 된 미국 시민은 이슬람교도나 아랍계, 중동계, 남아시아계에게 편향되고 있다며 이론을 주창하거나 소수파로 간주되는 의견을 갖고 있거나 저널리스트가 기재될 수도 있다며 정부가 목록을 사용하는 경우 최소한 구체적인 공개 기준을 설정하고 대상자가 목록에서 정보를 삭제하기 위한 엄격한 공개 절차를 적용해야 한다고 지적했다.

이 보도에 대해 미 정부 기관 측은 사이버 보안 사건이 발생했을 가능성을 인식하고 연방 정부 파트너와 연계해 조사하고 있다고 밝혔다. 또 커뮤트에어는 이번에 공개된 서버는 개발용 테스트 서버이며 초기 조사에선 고객 정보가 전혀 유출되지 않은 것으로 알려져 있다며 서버는 현재 오프라인이라고 설명하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독