GPS 추적 장치 제조사, 개인 정보 유출 위기
최근 GPS 추적 장치 제조사가 인터넷상에 민감한 데이터를 유출할 위험에 처했다는 경고가 나왔어요. 사이버 보안 연구원인 업가드(UpGuard)는 엔젤센스(AngelSense)라는 회사의 암호화되지 않은 데이터베이스를 발견했는데요. 이 데이터베이스는 최소 몇 주 동안 온라인에 노출되어 있었고, 장비에서 생성된 정보로 가득 차 있었다고 해요.
엔젤센스는 자폐 아동이나 치매 노인과 같이 특별한 도움이 필요한 사람들을 위한 GPS 추적 및 안전 장치를 만드는 회사예요. 실시간 위치 추적, 양방향 음성 통신, 보호자 알림 기능 등을 제공하여 사랑하는 사람들의 안전과 건강을 지키는 데 도움을 주죠.
접근 차단 조치
엔젤센스는 미국 전역의 법 집행 기관과 경찰서에서 추천하는 제품이라고 홍보하고 있다고 하는데요. 하지만 이번 사건으로 인해 개인 정보 유출 위험에 노출되었다는 사실이 밝혀졌어요.
보호되지 않은 데이터베이스는 안타깝게도 데이터 유출의 주요 원인 중 하나로 자주 발생하는데요. 이번 사건에서 엔젤센스는 고객의 개인 정보를 포함한 실시간 업데이트 로그를 저장하고 있었어요. 이름, 우편 주소, 전화번호, GPS 좌표, 건강 정보 등이 노출되었고, 회사 시스템에 대한 기술 로그도 함께 저장되어 있었다고 해요.
더욱 심각한 것은 이메일 주소, 비밀번호, 고객 계정 접근을 위한 인증 토큰, 신용카드 정보 일부가 암호화되지 않은 일반 텍스트 형태로 저장되어 있었다는 점이에요.
다행히 해당 데이터베이스는 현재 폐쇄되었지만, 정확히 얼마나 오랫동안 노출되었는지는 확인되지 않았어요. 쇼단(Shodan)이라는 검색 엔진에 따르면 1월 14일에 처음 발견되었지만, 그 이전부터 노출되었을 가능성도 있다고 해요.
업가드 외에 다른 사람이 이 데이터베이스를 발견했는지 여부도 불확실한데요. IP 주소와 브라우저만 있으면 누구나 접근할 수 있었다고 하니 더욱 우려스러워요.
엔젤센스의 CEO인 도론 소머(Doron Somer)는 “업가드에서 연락을 받고 나서야 이 문제를 인지하게 되었다”고 인정했어요. 그는 “정보를 확인하고 취약점을 해결하기 위해 즉시 조치를 취했다”고 덧붙였어요.
또한 “업가드 외에 다른 사람이 로깅 시스템의 데이터에 접근했다는 정보는 없으며, 데이터가 오용되었거나 오용될 위협에 처해 있다는 증거도 없다”고 밝혔어요.
이번 사건은 개인 정보 보호의 중요성을 다시 한번 일깨워주는 사례라고 할 수 있겠네요.