중기부, 'API취약' 경고에도 정보 유출…"예방가능한 전통 수법"
지난 5월 외부 보안팀으로부터 취약점 제보 받아…한 달 뒤 사고 발생
전문가 "고난도 해킹 아닌 컴퓨터가 하는 막노동 수준"
(서울=연합뉴스) 구정모 이상서 기자 = '모두의 창업' 프로젝트의 대규모 개인정보 유출 사고가 발생하기 전 사고 경위와 비슷한 보안 취약점이 제보됐던 것으로 확인됐다.
정보보안 전문가들은 이번 사고가 비교적 기본적인 공격 기법에 해당해 사전 점검과 적절한 보안 조치가 있었다면 예방할 수 있었을 것이라고 평가했다. 이 때문에 '막을 수 있었던 사고를 놓친 것 아니냐'는 비판이 제기된다.
22일 업계에 따르면 사이버보안팀 젠토(zento)는 최근 사회관계망서비스(SNS) 게시글을 통해 지난 5월 7일 모두의 창업 플랫폼에서 지원자 개인정보가 애플리케이션 개발 인터페이스(API) 응답을 통해 구조화돼 노출되는 취약점을 발견했다고 밝혔다.
이에 따르면 당시 노출된 정보는 아이디어 목록 약 1만6천건과 팀원 정보 약 2만건 규모였다.
젠토는 재현 경로와 영향 범위, 개선 권고안을 정리해 공식 문의로 제보했고, 모두의 창업 측으로부터 "관련 부서에 전달해 내부 확인 후 조치하겠다"는 답변을 받았다고 설명했다.
그러나 한 달여 뒤 실제 개인정보 유출 사고가 발생했다.
창업진흥원이 개인정보보호위원회에 신고한 사고 경위에 따르면 AI 솔루션 업체가 비정상적인 API 호출을 통해 비공개로 설정된 이메일 주소를 확보한 뒤 해당 주소로 홍보 메일을 발송했다.
창업진흥원은 비공개 이메일 주소가 외부 화면에서는 표시되지 않았지만, 특정 API 호출과 AI 기반 자동 수집, 웹 크롤링 등을 통해 취득이 가능했던 것으로 파악했다고 설명했다.
또한 서비스 화면에서는 접근이 차단돼 있었으나 도전자 프로필과 심사평 등 일부 서버 API의 보안이 미흡했다고 밝혔다.
이에 따라 업계에서는 지난 5월 제보된 API 기반 개인정보 노출 취약점과 이번 유출 사고 경위가 유사해 정부가 예방할 수 있었던 사고를 막지 못했다는 비판이 나온다.
중소벤처기업부 관계자는 "(위탁) 업체에서 제보받고 그에 대해 조처했다"며 "다만, 업체가 창업진흥원에 사후 보고를 하지 않아 제보 내용을 나중에 알게 된 것"이라고 해명했다.
하지만 해당 업체가 제대로 대처했는지에는 의문 부호가 붙는다.
제보 내용과 유사한 수법으로 개인정보가 유출된 데다가 비정상적인 API 호출을 통해 비공개로 설정된 이메일 주소를 확보하는 방식이 고난도의 해킹 수법이 아니기 때문이다.
제보를 받고 확실한 보안 조치를 했다면 충분히 막을 수 있었던 일이라는 게 업계 전문가들의 공통된 의견이다.
김명주 서울여대 정보보호학과 교수는 "특정 API 호출은 고난도의 스킬보다는 시간과 노력이 필요한 것으로, 컴퓨터가 하는 '막노동'이라고 보면 된다"며 "주된 해킹 수법인 웹셸이 10점 난도라면 이건 5점 정도"라고 설명했다.
또 다른 익명을 요청한 정보보안 전문가는 "브라우저 창에 있는 매개변수를 바꿔가며 취약점을 찾는 방식은 흔히 쓰는 해킹 수법으로, '클래식'한 공격 방법"이라며 "평균적인 난이도 수준으로 볼 수 있다"고 말했다.
그는 "사이트 구축 과정에서 매개변수 변조가 가능한지 점검했다면 충분히 조치할 수 있었던 유형"이라며 "점검하고 신경만 썼다면 예방할 수 있었던 수법"이라고 지적했다.
pseudojm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>