WSJ "문제의 DB, 알리바바 클라우드에 암호도 없이 방치됐다 유출된 듯"
"중국 당국, '10억명 개인정보 해킹 유출' 알리바바 수사 착수"
중국 경찰이 보유한 중국인 약 10억명의 개인정보가 해킹으로 유출됐다는 설과 관련해 중국 당국이 빅테크(거대 정보기술기업) 알리바바를 수사하고 있는 것으로 알려졌다.

미국 월스트리트저널(WSJ)은 사정에 밝은 소식통을 인용해 상하이 경찰 당국이 이번 사건으로 알리바바 그룹 클라우드 사업부의 임원들을 소환 조사했다고 14일(현지시간) 보도했다.

앞서 지난달 말 한 해커가 중국인 10억명에 대한 정보 등 상하이 경찰이 보유한 23TB(테라바이트) 이상 방대한 분량의 데이터를 해킹해 빼돌렸다는 글을 한 온라인 사이버범죄 포럼에 올렸다.

이것이 사실일 경우 역대 세계 최대 규모의 사이버범죄에 해당한다.

이 글이 올라온 뒤 지난 1일 알리바바 고위 간부들과 클라우드 담당 부서가 긴급 대응팀을 구성했으며, 상하이 경찰 당국이 알리바바 클라우드의 보안사업 담당 부사장인 천쉐숭 등 임원들을 불러들여 회의했다고 소식통이 WSJ에 전했다.

소식통에 따르면 데이터 유출이 밝혀지고 나서 알리바바 측은 해킹당한 데이터베이스(DB)에 대한 모든 접근을 차단하고 관련 소프트웨어 코드 검사를 시작했으나, 해킹당한 정확한 이유는 아직 밝혀지지 않았다.

또 당국과 소환된 알리바바 경영진이 어떤 내용을 논의했는지도 알려지지 않았다.

수사가 계속되는 가운데 알리바바 클라우드는 직원들에게 DB의 기본 구조, 정부 기관이나 금융기관 등 핵심 고객들과의 계약상 설정 등 세부 사항을 보고하도록 지시했다.

이와 관련해 미국 정보기술(IT) 보안업체인 시큐리티디스커버리, 리킥스가 관련 사이트들을 조사한 결과 유출된 DB가 알리바바 클라우드에 저장돼 있었던 것으로 나타났다.

알리바바가 제공한 DB와 이 DB를 관리하는 사이트(대시보드)는 암호 보호 등 아무런 보안 기능이 없는 수년 전 버전의 소프트웨어를 사용하고 있었다.

그 결과 관리 사이트에 암호가 걸려 있지 않았을 뿐 아니라 암호를 설정할 방법도 없었다고 이들 업체 전문가들이 WSJ에 밝혔다.

또 DB 자체는 보안이 설정된 프라이빗(폐쇄형) 클라우드에 저장돼 있었지만, 관리 사이트가 일반 인터넷에 노출돼 있어 해커가 아무 걸림돌 없이 정보를 빼낼 수 있었다고 전문가들은 지적했다.

해커가 제공한 샘플에 따르면 도난당한 데이터는 엄청난 다수 중국인의 이름, 주민번호, 전화번호와 상하이 경찰이 가진 범죄 기록, 또 다른 민감한 정보들을 포함하고 있다.

전문가들은 이처럼 방대한 양의 민감한 정보들이 사실상 방치돼 있었다는 데 충격을 받았다고 WSJ이 전했다.

알리바바는 또 해당 DB에 2017년 9월 보안 인증서를 설정하고 수년 뒤 인증서 기한이 만료된 이후에도 갱신하지 않아 인증서가 삭제되기도 했다.

이는 최소한 지난 4년간 문제의 DB가 아무 유지보수 없이 방치돼 있었음을 보여주는 것이라고 리킥스 측은 설명했다.

게다가 이들의 조사 결과 알리바바 클라우드 상의 다른 13개 DB도 문제의 DB와 마찬가지로 낡은 DB·관리 사이트 시스템을 쓰고 관리 사이트가 인터넷에 노출돼 있었으며, 보안 인증서도 없다는 취약점을 드러냈다.

이들 DB 중 두 곳은 데이터가 92TB, 60TB에 달해 해킹된 DB보다도 용량이 훨씬 컸다.

시큐리티디스커버리 측은 악의적인 공격자의 경우 단 하루면 이런 DB를 탈취, 확보할 수 있다고 지적했다.

이번 해킹 사건으로 중국 당국이 전국적인 디지털 감시 시스템을 통해 확보한 정보의 양이 엄청나다는 점은 물론이고 당국이 이를 안전하게 관리하는 데 어려움을 겪는다는 점이 주목을 받고 있다고 WSJ은 전했다.

/연합뉴스