전화 감시 앱 엠스파이(mSpy)에서 지난 10년간 엠스파이 접근권을 구매한 사용자 수백만 명과 기업 정보가 유출됐다고 보도되고 있다. 엠스파이가 사용자 개인 정보를 유출한 건 2018년 이후 이번이 3번째다.
엠스파이는 스마트폰에 설치해 자신의 자녀나 파트너, 부하 직원을 감시할 수 있는 앱. 엠스파이를 설치한 사람은 대상자 휴대전화 내용을 원격으로 실시간 열람할 수 있게 된다.
이번에는 스파이웨어 제작사 젠데스크(Zendesk)를 이용한 고객 지원 시스템이 해킹되어 2014년까지 거슬러 올라가는 고객 서비스 기록이 도난당했다. 엠스파이에서 사용자 데이터가 유출된 건 이번이 처음이 아니며 2018년에도 수백만 명분 고객 정보가 유출된 바 있다.
데이터 침해 통지 서비스(Have I Been Pwned?) 운영자 트로이 헌트는 엠스파이에서 240만 개 이메일 주소를 포함한 318GB 고객 데이터가 유출됐다고 보고했다. 이 데이터에는 고객 지원 티켓 제목과 IP 주소 외에도 사용자 기록으로 신용카드 사진과 누드 셀카 사진 등도 포함되어 있었다고 한다.
또 보도에 따르면 데이터를 분석한 결과 유출된 이메일 주소 일부는 고객 뿐 아니라 고객에 의해 감시당하고 있던 사람 것도 포함되어 있었다고 한다. 또 엠스파이 담당자가 납치 살인 사건 용의자로 지목된 사용자 정보를 FBI에 제공했던 기록도 있었다고 한다.
이번 데이터 유출로 인해 젠데스크 모회사가 우크라이나 기술 기업인 브레인스택(Brainstack)이라는 사실이 밝혀졌다. 유출된 데이터 중 브레인스택 도메인을 가진 이메일 주소가 수십 명분 포함되어 있었다고 지적하고 있다. 또 엠스파이 고객이 보낸 지원 티켓에 답변할 때 브레인스택 직원이 가명을 사용했다는 것도 밝혀졌다. 실제로 브레인스택 직원 2명에게 연락을 취하자 이들은 모두 유출된 데이터에 자신의 이름이 기재되어 있다는 건 인정했지만 업무 내용에 대해서는 언급을 거부했다.
New sensitive breach: mSpy had 2.4M unique email addresses exposed in a 318GB breach last month. Data included name & IP address in user records & support tickets, plus photos of credit cards & nude selfies. 54% were already in @haveibeenpwned. More: https://t.co/3wTQtlBj13
— Have I Been Pwned (@haveibeenpwned) July 11, 2024
젠데스크 측은 현 시점에서 젠데스크 플랫폼이 침해되었다는 증거는 없다고 말했지만 프라이버시를 침해하는 감시 앱인 엠스파이가 젠데스크 플랫폼의 이용 약관을 위반하고 있지 않은지에 대해서는 언급하지 않았다.
한편 이번 정보 유출을 처음으로 밝힌 스위스 해커(maia arson crimew)는 공공 이익을 위해 유출된 데이터세트를 비영리 투명성 단체에 제공했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.