악성코드 분석 서비스 개인정보 유출 사례

일전에 올린 "악성코드를 검사하는 바이러스 토탈"에서 바이러스 토탈(VirusTotal)이라는 구글에서 만든 악성코드 분석 플랫폼 대해 소개해드린 적이 있었죠. 여러 백신 엔진에서 해당 파일이 악성코드 DB에 있는지 검사해서 결과를 보여주는 그런 분석 플랫폼이라고 말씀드렸는데요. 그래서 첨부파일이 있는 메일이 왔을 때 실행파일과 같이 의심되는 파일이 있으면 올려서 검사해보라고도 설명드렸죠. 그런데 최근 이러한 분석 플랫폼에서 개인정보가 고스란히 유출된 사례가 발생했다고 하는데, 오늘은 이 부분에 대해 말씀드려보도록 하겠습니다.

​

요즘에는 웹 기반의 악성코드 분석 플랫폼이라고 해서 굉장히 많은 서비스들이 있습니다. 단순 EXE 실행파일 부터 매크로를 이용한 악성 문서 파일, 모바일 앱 설치파일인 APK, IPA 파일 등 굉장히 많은 유형의 파일들을 분석하여 악성 유무를 판별해주고 있죠. 저도 대학원에 다녔을 때 안드로이드 앱의 악성 유무를 판별해주는 웹 기반의 시스템을 개발해서 무료로 공개한적이 있었는데요. 당시에는 샘플 파일만 공개된 상태로 여러 사용자가 볼 수 있었고, 개인적으로 가입을 해서 자신이 올린 파일은 자신만 볼 수 있도록 했었습니다. 거기다 APK 파일 이외에는 웹 사이트에 업로드할 수 없도록 만들어서 개인정보가 유출되지 않도록 만들었죠.

​

제가 만든 서비스나 바이러스 토탈과 같은 웹 기반의 분석 서비스들은 기본적으로 의심이 되는 파일을 서버로 업로드 하는 형태로 되어있습니다. 즉, 해당 파일이 기본적으로 서비스를 만든 사람에게 공개 된다는 의미인데요. 과거에는 악성코드가 실행파일 형태로 많이 돌아다녔기 때문에 큰 문제가 없었는데, 최근 한글 파일이나 워드와 같은 문서에 악성 매크로를 넣어 배포함으로써 메일에 문서가 첨부되어 있어도 조심해야 하는 세상이 되었습니다. 그러다 보니 가끔 메일로 온 파일들을 생각 없이 악성코드 분석 서비스에 업로드를 하는 경우가 있는데, 정말 업무적인 메일임에도 첨부된 문서를 해당 서비스에 올리면 문제가 생겨버리겠죠.

​

쉽게 생각해서 이런겁니다. 회사에서 개발중인 신제품에 대한 정보가 담긴 문서를 타 부서에게 전달했는데, 해당 부서의 직원이 혹시 악성코드 일지도 모른다 생각해서 악성코드 분석 서비스에 파일을 업로드 한 것이죠. 어떻게 보면 기밀 정보로 분류할 수 있는 문서를 외부로 유출한 것으로 볼 수 있습니다. 이번에 문제가 되었던 분석 서비스에서는 웹에 파일을 업로드하면 자신 외에 모든 사람들도 볼 수 있었다는 문제를 가지고 있었는데요. 분석 결과만 볼 수 있었다면 그나마 괜찮았을텐데, 해당 파일을 다운로드할 수 있었다는 점에서 굉장히 치명적이라고 볼 수 있습니다.

 

[단독] 샌드박스 분석 플랫폼에 분석 맡긴 ‘개인정보’ 고스란히 유출됐다

 

해당 서비스에 올라온 파일들은 대부분 이력서, 견적서, 등록금 영수증, 청구서와 같은 민감 정보가 포함된 문서였다고 하는데요. 유출된 문서에서 이름과 주민등록번호, 전화번호 등 개인을 식별할 수 있는 정보들이 있었고, 2018년부터 쭉 방치되었다고 합니다. 물론 이력서와 같은 형태가 가장 대표적인 문서형 악성코드로 분류가 되지만, 실제 개인의 이력서일 수도 있기에 문제가 되겠죠. 엄밀히 말하면 다른 사람에게 파일을 다운로드 받도록 설계한 것이 잘못된 것이지만, 그래도 이런 서비스에 파일을 업로드할 때는 굉장히 신중하셨으면 합니다. 그럼 여기까지 악성코드 분석 서비스에서 유출된 개인정보 사례에 대해 말씀드렸습니다. 읽어주셔서 감사합니다.