API 보안 취약점, 소비자 민감정보 유출 위협한다

신용평가사 Experian, API보안 취약으로신용점수 유출

더블린과 아일랜드에 기반으로 둔 신용평가 회사 익스페리안(Experian)이 신용 점수를 가진 거의 모든 미국인의 신용 점수를 유출해 화제다. 익스페리안은 자사 홈페이지에서 개인이 자신의 신용점수를 간편하게 확인할 수 있는 서비스를 제공했는데, 이 시스템의 보안이 취약했던 탓이다. 원래 익스페리안은 이름과 주소, 생년월일을 입력할 경우 자신의 신용점수를 조회할 수 있게 했는데 생년월일 조차도 제대로 입력하지 않아도 - 0의 문자열을 입력하는 것만으로도 - 점수가 조회된 것이다.

Experian 홈페이지 신용점수 조회 서비스(출처:experian.com)

이번에 유출된 신용점수(FICO score)는 세 자리 숫자로 이루어진 신용도 점수로써 각종 대출기관, 보험회사 등에서 개인에게 서비스 제공 시 사용하는 중요 민감정보다. FICO점수를 산출하는 데는 현재 보유 신용카드 개수, 보유 기간, 대출 보유 여부 및 기간, 신청 건수, 대출규모 등이 모두 포함되며 이는 개인의 재정상태를 가늠할 수 있는 바로미터로 보아도 무방하다. 따라서 FICO 점수의 유출은 그 자체로 각종 금융범죄에 악용될 수 있는 소지가 매우 크다. 예를 들어, 신용점수가 낮고 계좌가 많은 사람들에게 원래는 발급 불가능한 신용카드의 '사전 승인'이 통과됐다는 형태의 사기 등이 가능한 것이다.

이번 유출 사건의 주체인 익스페리안은 작은 중소기업이 아니다. 이들은 10억 명 이상 사람 및 기업 정보를 수집 처리하는 신용 조사 기관이며, 2억 3천5백만 미국 소비자와 2천5백만 개 이상 미국 기업을 포함하고 있다. 그럼에도 불구하고 2013년, 2015년, 2020년, 그리고 올해까지도 유출사고에 휘말린 바 있는데, 이는 민감정보를 다루는 회사로서 매우 불명예스러운 일이다.

[2013년] 인수된 자회사 Court Ventures로부터 유출된 것으로 추정되는 수십만 명의 미국 거주자 개인정보를 베트남인 Hieu Minh Ngo가 판매 시도 -> 최대 2억 명의 사회보장번호 노출 가능성

[2015년] 2013년 9월부터 2015년 9월까지 T-Mobile 고객 중 Experian 서비스를 사용한 1,500만 명 사용자의 개인정보가 해킹에 의해 노출 -> 이름, 주소 및 사회보장 번호, 운전면허, 여권번호를 포함, 일부 암호화됨

[2020년] 용의자가 특정 고객을 사칭하여 Experian 서비스 액세스 권한을 얻어 2400만 명의 남아프리카 공화국 시민 및 80만에 가까운 기업 데이터가 유출 -> 휴대폰, 주소, 은행 및 업무정보 등이 포함되어 2차 피해 우려

[2021년] 2021년 1월 브라질의 자회사인 Serasa Experian에서 2억 2천만 명(사망자 포함) 개인정보 및 1억 4백만 건 차량 기록 데이터가 다크웹에서 거래되고 있는 것을 발견, 이름, 세금 식별자(CPF), 얼굴 이미지, 주소, 전화번호, 이메일, 신용점수, 급여 등 포함 -> 거래 중인 데이터는 교육 수준, 급여, 수입, 구매력과 같은 사용자를 그룹핑한 정보가 포함

어떻게 이런 일이 발생했을까. 조사에 따르면, 2020년 유출 및 2021년 유출은 API의 보안 취약성에 따른 것이다. 해당 API는 공개적으로 사용 가능한 정보(이름, 주소)를 인증에 사용하고 별도의 추가 인증 없이 접근하도록 설계되었다. 원래 API는 다른 대상과 정보교환을 할 수 있는 인터페이스로 클라우드, IoT, 모바일 등 다양한 플랫폼 및 서비스 환경에서 활용되고 있다. 그러나 광범위한 접근이 허용되고 데이터의 구조와 정보를 알아보기 쉬우며 메소드, 헤더 및 파라미터와 같은 공격 가능한 요소를 포함하고 있어 공격자의 대상이 되기 쉽다는 보안 취약점이 지속적으로 제기되고 있다.

따라서 API 설계시 이와 같은 보안 취약점에 대한 충분한 인지 및 설계 단계에서 부터의 철저한 보안 관리가 필수다.