삼성, 애플, 구글, 나사 등 전기전자기술분야 전문가들이 모이는 학술단체인 국제전기전자공학회(IEEE) 소속 회원 10만명의 사용자이름(ID)과 비밀번호가 유출된 것으로 나타났다. 핵심기술자들의 커뮤니티가 해킹위협에 노출되면서 회사기밀이나 개발 중인 기술정보가 유출되는 등 2차 피해도 예상되는 상황이다.
25일(현지시간) 주요 외신은 컴퓨터 과학자로 근무하고 있는 라두 드라거신 코펜하겐대학 연구원이 지난주에 IEEE 회원의 정보 10만건이 유출됐다고 블로그에 올렸다고 보도했다.
데이터가 유출된 이유는 관리허술 때문이다. IEEE는 사용자이름과 비밀번호를 일반인들이 접속할 수 있는 IEEE FTP 서버에 저장해 놓았다. 외신은 이곳에 삼성, 애플, 구글, IBM, 오라클, 나사 등에 근무하고 있는 주요 기술전문가들의 정보가 유출된 것으로 파악하고 있다. 라두 드라거신 연구원은 ieee.org와 웹진인 spectrum.ieee.org에 저장된 개인정보도 안전하지 않다고 설명했다.
IEEE측은 ID와 비밀번호가 포함된 복호화된 정보가 담긴 로그파일에 의도적인 접속이 있었다는 사실을 인지하고 있다며 어떤 경로로 유출됐는지 조사 중이라고 밝혔다.
관련기사
- ‘개인정보 유출’ SK브로드, 항소심도 패소2012.09.26
- 10명중 9명 “개인정보 유출됐다”고 생각2012.09.26
- 구글, 개인정보보호 비상팀 운영2012.09.26
- 상반기 웹 공격 "개인정보 유출 목적 늘어"2012.09.26
드라거신 연구원은 유출된 로그파일에는 3억7천600만개의 HTTP 접속요청이 기록돼 있다고 말했다. 웹서버 로그기록은 외부에 공개될 수 없다. 이 정보들은 대개 확인된 사용자들의 정보만 포함하기 때문이다. 그러나 만약 FTP 디렉토리 내에 100기가바이트(GB)의 로그파일이 공개돼있다면 암호화되지 않은 ID와 비밀번호가 고스란히 노출되는 셈이라고 말했다.
비밀번호의 경우 통상 해시값이라는 특정 함수를 적용해 암호화한 상태로 서버에 저장한다. 그러나 일반적인 이용자들도 분석, 모니터링, 침입탐지 등을 위해 로그파일을 분석할 수 있는 만큼 이곳에 저장된 개인정보는 유출될 가능성이 높다.