PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2022/07/09 21:46:40
Name manymaster
Subject [일반] 마이크로닉스 개인정보 유출 두번째 이야기
슬픈 소식이 가득한 이번 주, 아직 마무리가 덜 된 사건에 대해 글이 하나 더 쓰이는 것에 대해 우선 유감을 표합니다.

https://quasarzone.com/bbs/qb_free/views/7747072

마이크로닉스에서 개인정보가 유출되었다는 이 사건을 PGR을 통해 접했는데, 살짝 알아보고나니 마닉 측 대응이 워낙 한심해보였습니다. 기초적인 보안 수준도 개판이었는데, 사이트 주소를 직접 쳐서 들어가는 경우에 대한 방비부터가 없었다는 점에서부터 그랬습니다. 사실 로봇.txt 활용 안하냐는 생각도 들었는데, 알아보니 이거 활용이 우선이 아니라는 비판 기사 ( https://www.hani.co.kr/arti/economy/it/607816.html )가 있더라고요. 조금 더 생각해보니 포탈에 유출될 수준을 그냥 로봇.txt로 막아버린거면 해커가 털면 그냥 털리는 수준이겠더라고요.

그리고, 크롤링해서 긁어갔다는데 마닉 측에서 대량 유출은 없었다고 주장했습니다. 뭔가 이상하다싶어 구글에 특정 검색어(현재 구글로 그 검색어 치면 하나도 안 걸립니다만, 네이버나 다음에 치면 여전히 개인정보가 걸리므로 아직 그 검색어 공개는 하지 않겠습니다.)로 검색한 결과 개인정보가 좌르륵 나오더라고요. 네이버 쪽에서는 검색결과에서 전화번호를 복자처리 해놓긴 했지만, 결국 사이트로 들어가면 공개되었던 것은 변함이 없었습니다. 그리고 여전히 특정 패턴이 아닌 전화번호나 주소 같은 것은 검색결과에서 공개되어 있습니다.

그래도 사이트 보완 중이라고 하고, 구글 검색결과 삭제도 시간이 좀 걸릴 수도 있으니 지켜보자고 했는데, 혹시나 몰라서 제가 한 번 삭제를 넣어봤습니다. 이미 알려진 쪽 대충 막아놓은 부분에 대해 삭제를 넣어봤는데 제가 삭제를 넣어본 부분만 삭제되고 다른 쪽은 삭제가 되지 않은 것으로 봐서 이건 마닉 쪽에서 심각성이고 뭐고 몰라도 한참 모르는구나 했습니다. 여기에 더해 네이버 쪽 검색 결과도 죽 둘러보다가 아직 조치 안 된 취약점 하나 발견하고 해서 제보를 했습니다.

그래서, 제보 자체는 큰 무리 없이 되었습니다. 그리고 전화가 다시 와서 빠른 조치를 하겠다고 약속해주었고, 대충 막아놨었던 최초 발견 취약점이나 제가 제보 들어갔던 취약점 전부 1시간만에 비교적 깔끔하게 조치되었습니다. 저녁에는 구글 검색 결과도 대부분 날아갔음을 확인했습니다.

일단 제가 파악한 추가 취약점은 다음과 같습니다. 지금은 모두 깔끔하게 삭제되었습니다.

micronics/view_order.php - 특정 주문 아이디를 같이 입력하면 주문한 내역을 알아볼 수 있던 페이지입니다. 이름 복자로 하나, 전화번호 복자로 하나 조치되어 공개되어있었고, 주소도 전체 공개되어있었습니다. 로그인을 하지 않고 접근하면 로그인 퍼스트라고 경고 알람이 뜨나, 페이지 자체는 그대로 들어가졌습니다.
micronics/edit_inquiry.php - 문의게시판 수정 페이지입니다. 실제 수정되는지 안되는지는 확인을 안 해봤습니다만, 이 글( https://quasarzone.com/bbs/qb_free/views/7747893 )에 댓글로 달렸던 게시판 관련 내용은 데이터 백업 후 삭제 처리가 되었다는 마닉 측의 주장이 무색해진 취약점입니다.

다만, 사건이 다 마무리가 된 것은 아닙니다. 물론 이미 유출된 정보가 혹시나 해커 손에 들어갔다면 그건 마닉 측에서 어찌 할 수 없고, 유출된 피해자 모두에게 각각 전화나 문자를 돌려서 개인정보 유출되었다는 통보 하는 것도 바라지는 않습니다만, 홈페이지에 유출 및 진행상황을 다시 공유하고, 적어도 네이버, 다음에서는 제가 알려준 검색어로 검색해서 개인정보가 뜨진 않는 것 까지는 진행되어야 납득할 것 같습니다. 애초에 이번 유출이 마닉 측이 파악한 것보다 훨씬 심각한 문제라는 것을 인식시킬 목적으로 제보한 것인데, 마닉 측에서 적극적 대응 없이 제가 제보한 것만 조치를 취한 거면 제 제보가 의미가 있겠냐는 생각이 들더라고요. 제보를 해주셔서 감사하다고 마닉 측이 배스킨라빈스31 버라이어티 팩을 보내줬는데 언젠가 기쁜 마음으로 받거나 나눴으면 좋겠습니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
SAS Tony Parker
22/07/09 22:03
수정 아이콘
어유.. 수고하셨습니다 ㅠㅠ
22/07/09 23:47
수정 아이콘
서비스를 정상적으로 사용중에 버그나 취약점을 발견하고 제보하는건 좋은일이나 일부러 찾아서 악용한다면 범죄가 될 수 있습니다. 조심하세요
Promise.all
22/07/10 09:10
수정 아이콘
요즘 회사마다 CSO를 둬야 하지 않나요...?
이런 보안 수준은 솔직히 문제가 있는 것 같습니다.
manymaster
22/07/10 09:44
수정 아이콘
개인정보보호법에도 보호책임자 지정을 하라고 하고 있습니다.
문제는, 보안에 대해 경험이나 지식을 입증할 수 있는 사람이 보호책임자가 되어야 그래도 어느정도 보호를 기대할 수 있을텐데, 개인정보보호법 시행령 32조 2항 2호에 따르면 보호책임자로 사업주나 대표자나 임원, 없을 경우 개인정보 처리 관련 업무를 담당하는 부서의 장을 지정할 수 있다고 해서 실질적으로 보안에 대해 아무것도 모르는 사람도 보호책임자가 될 수 있다는 것입니다.
저 개인적으로 개인정보를 다룰 일이 있었기도 해서 개인정보 보호책임자에 무작정 자격 제한을 거는 것은 좀 뭣하긴 한데, 그래도 어느정도 규모가 되거나, 처리하는 개인정보가 많은 처리자의 보호책임자는 일정 자격증을 요구하고, 소상공인으로 개인정보 처리자인 사람들도 개인정보 보호 교육을 받을 기회가 많았으면 좋겠습니다.

CSO 이야기는 중대재해처벌법 관련해서 도는 것으로 알고 있습니다. 한경 기사( https://www.hankyung.com/society/article/202201252292i )에 따르면 임명한다고 그냥 면책 대상이 되는 것이 아니고, 대표가 CSO를 잘 활용해서 안전 대책을 확실히 수립했는데에도 사고가 터지는 경우에야 처벌을 면할 수 있다고 합니다.
22/07/10 10:28
수정 아이콘
이 글은 사태 진원지(?)인 퀘이사존에도 올려야 할 것 같다는 생각이 드는데요.

퀘이사존에도 본 글 소개해도 될까요?
manymaster
22/07/10 10:32
수정 아이콘
예. 소개해주신다면 제가 감사를 드려야 할 일입니다.
22/07/10 10:53
수정 아이콘
감사합니다!
manymaster
22/07/10 19:13
수정 아이콘
마닉 측의 답변 확인했습니다. 글을 올려주심에 다시 한 번 감사의 말씀을 드립니다.
다만, 취약점 개선은 항상 끝이 없는 이야기입니다. 너무 늦지 않는 시점에서 마닉 측의 공식 입장이 다시 홈페이지에 올라왔으면 좋겠습니다.
참고로, 법적인 최초 통지 기한은 최초 유출 인지 이후 5일입니다. 추가적인 인지에 대한 추가적인 안내는 잘 모르겠네요.
CastorPollux
22/07/10 11:17
수정 아이콘
게시판 비밀글 게시글 아이디로 그냥 봐졌던 건 레전드네요.............. 앞단만 처리를 했네.........
22/07/10 14:53
수정 아이콘
글 목록에서 비밀글은 링크가 안 나오게 만들었지만, 비밀글 URL에 직접 접속하는 건 가능했다는 거죠?
manymaster
22/07/11 16:46
수정 아이콘
(수정됨) 방금 마닉 측의 전화를 받았습니다. 검색 돌려보니 깔끔하게 처리 되었더라고요.
홈페이지에서 새로 뜰 공식 입장 확인하고나면 이번 사건 마무리 될 듯 합니다.

P.S: 제가 구글에 쳐서 대량 유출을 확인한 검색어는 'site:micronics.co.kr 010' 였습니다. 휴대전화번호 노출이라길래 한국인 대부분 휴대전화번호는 010으로 시작하니 이걸로 사이트 한정으로 해서 검색하면 확인 가능하지 않나 싶었고, 혹시나가 역시나였네요.
manymaster
22/07/11 18:14
수정 아이콘
http://www.micronics.co.kr/micronics/view_notice.php?id=104

마닉 측의 오늘자 공식 입장 확인합니다.

[문제 발생 이후, 내부에서는 게시판의 기능을 즉시 정지시키고 취약점 점검과 보완을 위한 후속 조치를 진행했습니다. 또한 각 포털에 남은 캐시 데이터의 삭제 조치 요구도 함께 진행했습니다.]

최초 제보자 분이 최초 제보 당일인 7월 5일에는 아무런 조처가 없었다고 하고, 데이터 백업 후 삭제나 캐시 데이터 삭제 조치 요구는 8일 부터 시작되긴 했지만... 뭐, 아무튼 그랬다고 치겠습니다.

[데이터 자체가 외부로 유출되었는지 여부도 확인했습니다만, 외부 침입에 의한 정보 유출은 없음을 알려드립니다. 앞서 설명드린 것처럼 고객문의를 진행하신 당사자 외에는 정보를 확인할 수 없었기에 고객들의 개인정보가 외부로 대거 빠져나간 상황은 아닙니다.]

이게 좀 많이 아쉽긴 하네요. 개인정보 데이터베이스까지 뚫린 것은 아닌 것으로 보입니다. 다행입니다. 하긴 이번 건은 해커가 뚫은 게 아니고 웹 크롤러가 긁어간 사건이니까요.

그런데 '고객문의를 진행하신 당사자 외에는 정보를 확인할 수 없었기에'... 이전 입장에서도 보기는 봤었습니다만, 이게 고객문의를 진행한 당사자만이 각각 자신의 정보를 검색할 수 있었던 거였는지, 고객문의를 진행하지 않은 사람들의 개인정보가 유출된 것은 아니라는 것인지 애매하게 써놓았네요. 이전에는 전자로 해석되었지만, 지금 다시보니 후자로 해석할 수도 있는 것이었네요...

물론 문의게 외적인 view_order.php가 뚫렸던 상황에서야... 퀘이사존에 2월에도 뚫렸다고 올라왔었던 글( https://quasarzone.com/bbs/qb_free/views/7747893 )을 다시 보니 이 이야기였었나보네요. 그 때에도 자신의 전화번호로 검색하니까 걸린 것으로 봐서 전화번호 한 자리 복자처리는 이거 걸리고 땜빵친 것이었나봅니다. 그리고 한 번 더 걸리고나서야 삭제...

마닉 측 오늘자 입장이 많이 아쉽기는 하지만, 취약점이나 이미 긁어간 부분의 조처는 깔끔하게 되었으므로 여기서 마무리하려고 합니다. 관심가져주셔서 감사합니다!
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
공지 [정치] [공지] 정치카테고리 운영 규칙을 변경합니다. [허들 적용 완료] [126] 오호 20/12/30 283041 0
공지 [일반] 자유게시판 글 작성시의 표현 사용에 대해 다시 공지드립니다. [16] empty 19/02/25 345442 10
공지 [일반] [필독] 성인 정보를 포함하는 글에 대한 공지입니다 [51] OrBef 16/05/03 467030 31
공지 [일반] 통합 규정(2019.11.8. 개정) [2] jjohny=쿠마 19/11/08 343990 3
103298 [일반] 요즘 가볍게 보는 웹소설 3개(시리즈) [3] VictoryFood715 24/12/25 715 0
103297 [일반] 2024년 12월 24일. 사랑하는 우리 첫째 반려견 사랑이가 소풍을 떠났습니다. [4] Fairy.marie1001 24/12/25 1001 10
103296 [정치] 우리는 김어준이 정론직필을 말하는 시대를 살고 있습니다 [49] 베놈5426 24/12/24 5426 0
103295 [정치] 노상원 "대수장으로 부정선거 공부" [39] 다크드래곤3348 24/12/24 3348 0
103293 [일반] aespa 'Whiplash' 커버 댄스를 촬영했습니다. [5] 메존일각1879 24/12/24 1879 3
103292 [일반] 청춘을 주제로 한 중고생들의 창작 안무 뮤비를 촬영했습니다. [2] 메존일각1533 24/12/24 1533 2
103291 [정치] 백령도 작전 & 블랙요원 관련 제보추가(법사위) [98] 체크카드14648 24/12/24 14648 0
103290 [정치] [속보]총리실, 내란·김건희특검법에 "위헌·위법 요소 있다고 생각" + 추가 [111] youcu13324 24/12/24 13324 0
103289 [일반] [스포 포함] 자칼의 날 후기 [10] 동지2603 24/12/24 2603 3
103288 [정치] 권영세, 국민의힘 비대위원장 유력 [34] 계층방정7577 24/12/24 7577 0
103287 [정치] 한덕수 탄핵절차 돌입 [121] 다크서클팬더14882 24/12/24 14882 0
103286 [정치] 또 다시 시작되는 노재팬 [142] 스위니9630 24/12/24 9630 0
103285 [정치] 또 드러난 윤석열의 거짓말, 명태균과 통화 [25] 빼사스7388 24/12/24 7388 0
103284 [정치] 김어준발 루머가 진실로 드러나나... [131] 능숙한문제해결사12763 24/12/24 12763 0
103283 [일반] 한국-민족-문화의 정체성에 대한 소고 [13] meson2455 24/12/23 2455 10
103282 [정치] 부승찬의원이 비행단 테러계획을 제보했네요 [38] 바람돌돌이9503 24/12/23 9503 0
103281 [정치] 천하람 의원 영상물 링크입니다. 주니어급 변호인단이 섭외 너무 안된다네요 [46] 틀림과 다름10518 24/12/23 10518 0
103280 [정치] 총리실 "국무위원 5명 더 탄핵당하면 국무회의 의결 불가능" [43] 빼사스9695 24/12/23 9695 0
103279 [정치] 결국 국무회의는 없는 계엄이었어요? [17] manymaster6610 24/12/23 6610 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로