[더구루=홍성일 기자] 미국에서 보안 조치가 이뤄지지 않고 방치된 클라우드 스토리지(저장장치) 컨테이너가 발견됐다. 해당 컨테이너에는 네이버의 북미 C2C(Consumer to Consumer) 패션 플랫폼 포쉬마크(Poshmark)의 이용자 정보도 포함된 것으로 확인됐다. 업계는 개인정보 유출로 인한 2차 피해를 우려하고 있다.
2일 업계에 따르면 미국 사이버보안·IT 전문매체 사이버뉴스(cybernews) 연구팀이 보안 조치가 이뤄지지 않고 방치된 애저 블롭 스토리지(Azure Blob Storage) 컨테이너 2개를 발견했다. 애저 블롭 스토리지는 이미지와 영상, 소셜미디어 활동, 텍스트 등 구조화 되지 않은 데이터를 대량으로 저장할 수 있는 클라우드 서비스다.
이번에 발견된 컨테이너에는 총 160만 개가 넘는 파일이 저장돼있었다. 컨테이너에 저장된 파일 대부분은 HTML 형식의 배송 확인 이메일이다. 배송자의 이름과 집 주소, 이메일 주소, 주문 세부 정보 등을 확인할 수 있는 것으로 알려졌다. 이메일은 대부분 미국에서 거주하는 이용자에게 발송된 것이며 캐나다와 호주에 거주하는 이용자도 일부 포함됐다. 해당 컨테이너의 정확한 출처나 소유권은 확인되지 않았다.
사이버뉴스는 "사이버 범죄자가 해당 데이터 세트에 실제로 접근했는지는 알 수 없지만 수십만 개의 고객 파일이 보호되지 않고 유출됐다"며 "노출된 정보의 대부분이 엣시(Etsy)의 데이터였으며 포쉬마크와 틱톡 샵을 이용하는 고객의 정보도 포함됐다"고 밝혔다. 엣시는 뉴욕에 본사를 둔 글로벌 전자상거래 플랫폼으로 수공예품이나 사진, 그림, 빈티지 제품 등이 주로 거래된다.
사이버뉴스는 해당 정보가 악의적으로 활용될 수 있다고 지적했다. 주문 세부 정보 등을 활용해 엣시, 포쉬마크를 사칭한 피싱 캠페인을 진행할 수 있다는 것. 특히 개인정보와 주문 정보를 포함한 이메일을 보내 악성코드 유포에도 활용할 수 있다고 분석했다.
업계는 엣시, 포쉬마크 등을 사용하는 이용자의 경우 개인정보 노출 여부를 확인하는 등 자체 보호조치가 필요하다고 강조했다.
사이버뉴스는 "사이버 범죄자가 주문자의 이름과 주소 등에 접근하게 되면 물류업체나 전자상거래 업체를 사칭할 수 있다"며 "주문자를 속여 추가 개인정보 노출과 결제, 악성 링크 클릭 등을 유도할 수 있으니 주의가 필요하다"고 말했다.
