무료 VPN 서비스, 수백만 명의 개인정보 유출했다

- Advertisement -

VPN은 접근이 차단된 서비스도 우회 접속하게 해주는 신통한 도구다. 하지만 VPN을 내키는대로 이용해서는 안 된다. 보안 체계가 허술한 VPN은 개인 정보를 유출시킬 수 있다.

19일(현지 시간) 보안 업체 위즈케이스(Wizcase)는 자사 블로그에 무료 VPN 퀵폭스(Quickfox)에서 다양한 정보가 노출됐다고 밝혔다.

퀵폭스의 주 고객은 중국 웹사이트에 접근하고자 하는 사람이다. 퀵폭스는 중국 서버에 연결할 수 있는 VPN 우회 서비스를 제공해왔다.

정보 노출은 ELK(Elasticsearch, Logstash, Kibana) 스택 보안 문제로 발생했다.

ELK는 오픈 소스 프로젝트 세 가지를 일컫는다. Elasticsearch는 검색 및 분석 엔진, Logstash는 여러 소스에서 동시에 데이터를 수집하여 변환한 후 Elasticsearch와 같은 stash 보관소로 전송하는 서버 사이드 데이터 처리 파이프라인이다. Kibana는 사용자가 Elastics에서 차트와 그래프를 이용해 시각화할 수 있게 해준다.

Wizcase

위즈케이스에 따르면 퀵폭스는 Kibana에서는 접근 제한을 설정했지만, Elasticsearch 서버에는 동일한 보안 조치를 설정하지 않은 것으로 확인됐다.

보안 조치 미흡으로 인해 브라우저와 인터넷을 사용할 수 있는 모든 사람이 퀵폭스 로그에 액세스하고, 사용자에 대한 정보를 추출할 수 있게 됐다. 이번 유출의 피해자는 대부분 일본, 인도네시아, 카자흐스탄, 미국에 거주하는 사용자였다.

위즈케이스에 따르면 유출된 정보는 약 5억 건으로 100GB가 넘는다. 유출된 정보는 크게 두 가지로 나뉘었다. 첫 번째는 약 100만 사용자의 개인정보였고, 두 번째는 30만 명이 넘는 사용자 장치의 소프트웨어에 관한 것이었다.

데이터 노출은 모두 2021년 6월에서 2021년 9월 사이에 이뤄진 것으로 추정된다.

이 유출에서 발견된 개인 식별 가능 정보(PII)에는 △사용자의 이름 △이메일 △전화번호 △장치에 설치된 소프트웨어 △기기의 고유 세부 정보 △MD5 해시 비밀번호가 있다.

문제는 데이터만 노출된 것이 아니다. 각 사용자에게 할당한 IP주소와 VPN 서비스에 연결한 사용자의 IP주소도 유출됐다.

2021년 퀵폭스를 이용했다면 △피싱 △사기 △암호 유출 △계정 탈취를 각별히 조심해야 한다.

VPN 서비스는 구독료를 통해 수익을 창출하지 않는 경우 사용자로부터 수집하는 정보로 수익을 낼 가능성이 있다. 무료 VPN 서비스를 이용하기 전 해당 서비스 신뢰성을 검토하는 편이 좋다.

테크플러스 에디터 최연우

tech-plus@naver.com

[fv0012]

- Advertisement -

Related Stories