이미지 확대보기
제트콜은 이러한 내용은 까맣게 모르고 있다가 이같은 사실을 알리고 수차례 확인메일을 보낸 보안전문가의 문의에도 부답으로 일관하다가 결국 30일 고객정보 유출 사실을 공식화한 것으로 드러났다.
보도에 따르면 이같은 사실은 보안 회사 클라우드 플레어(Cloudflare)의 저스틴 페인 신뢰 및 안전담당 이사 에 의해 밝혀졌다. 그는 모든 어떤 유형의 인증도 없는 키바나 프론트 엔드를 가진 일래스틱서치(Elasticsearch) 데이터베이스를 발견했다고 말했다. 오픈소스 기반의 일레스틱서치 검색엔진은 보안에 취약한 것으로 알려져 있다.
제트콜 딜리버리 에이전트(Zcall Delivery Agent) 및 제트콜딜리버리 어카운트매니저(Zcall Delivery Account Manager) 등 두 개 안드로이드앱은 패키지 픽업 및 배송 일정을 계획하고 보고하는 데 사용된다. 이 앱들은 제트콜에 의해 개발됐고 구글 플레이 스토어를 통해 사용할 수 있다.
유출된 정보에는 이름, 주소, 전화 번호 및 배달 시간뿐 아니라 상점 및 직원 로그인을 위한 일반 텍스트형 비밀번호와 일반 텍스트형태로 된 은행 정보까지 포함돼 있다.
유출된 배달 주소 정보 유출은 특별히 위험하지는 않지만 배달을 하고 받는 사람의 이름과 전화번호 정보로 인해 사기성 전화나 즉 스미싱 문자 등으로 악용될 수 있다.
저스틴 페인 이사는 “텍스트 암호는 ID값과 함께 사용됐지만 나는 이 ID값과 연관된 전자메일 주소나 사용자 이름같은 정보는 보지 못했다"며 “따라서 평문 암호만으로는 악의적인 사용자가 해당 사용자로 로그인 할 수 없었을 것입니다. 이것은 좋은 소식입니다"라고 말했다.
페인 이사는 "유출된 은행 계좌 번호, 은행 소유자, 이름, 주소 및 전화 번호 정보는 잠재적으로 매우 심각하다“고 말한다. 그는 "유출된 정보의 양은 잠재적으로 다른 사람의 은행 계좌에 접근하거나 수정할 수 있도록 은행을 사회 공학적으로 설계하기에 충분할 수 있다"고 지적한다.
페인은 제트콜 고유사용자 수를 계산하기 위한 쿼리를 실행하지 않기로 결정했다고 말했다. 이는 리소스 집약적 활동일 수 있으며 프로덕션 서버에 부정적인 영향을 미치기를 원하지 않기 때문이라고 설명했다.
그러나 페인 이사는 기술 리포트를 통해 이 앱이 놀랍게도 매일 340만번이나 유출한 기록을 갖고 있다고 말한다.
페인은 제트콜에 여러개의 전자 메일을 보냈지만 응답을 받지 못했으며 이 회사 정보 보호 담당자에게 보낸 별도의 전자 메일도 반송됐다고 전했다. 이 앱이 1월24일에 업데이트된 만큼 메일은 버려지지 않은 것으로 보인다.
이후 제트콜 웹사이트는 이 사건을 인정하는 아래와 같은 발표문을 냈다.
“통지문
고객정보 유출을 통지해드리며 깊이 사과드립니다.
저희 제트콜은 고객님의 정보를 안전하게 보호하고자 최선의 노력을 다해왔으나 최근 한국인터넷진흥원으로 부터 당사의 회원의 개인정보가 일부 외부에 유출되었다는 사실을 전달 받게 되었습니다.
통보받은 즉시 유출 경로를 차단하여 더 이상의 유출이 발생하지 않도록 조치하였습니다.
외부유출은 2019년 01월 13일부터 추정되고있으며 전산망 침입에 의한 해킹사고는 아닙니다.
한편 유출된 중앙서버를 이용중인 지사, 업소, 직원의 개인정보로는 성명, 아이디,비밀번호,계좌번호,사업자번호,주소,휴대전화번호, 사업장전화번호입니다.
유출된 정보에는 고객님의 주민등록번호는 포함되어 있지 아니하여 주민등록번호 도용이 발생할 우려는 없습니다.
아이디,비밀번호가 유출되었기에 중앙서버를 사용중인 지사, 업소,직원의 비밀번호를 필히 변경해 주시기 바랍니다.
아울러 당사는 고객님께 발생할수있는 피해를 예방하기위해 해당사실을
즉각 신고하였습니다.
현재로서는 이번 사고로 인한 2차 피해의 가능성은 낮지만 혹시라도 유츌된 정보가 전화광고 등에 이용되는 경우가 발생할수 있으므로 유의해 주시기 바랍니다.
이와 관련하여 별도의 문의가 있으시거나 피해가 발생한 경우에는 당사 연락처(0502-222-3838)로 연락주시면 친철하게 안내드리고 신속하게 대응하도록 하겠습니다.
고객님께 심려를 끼처드리게 된 점 머리 숙여 사과 드리며 향후에는 이러한 일이 발생하지 않도록 개인정보 보호에 더욱 만전을 기할것임을 약속드립니다.
제트콜 임직원일동”
1월30일자로 제트콜 앱 중 하나가 구글 플레이스토어에서 삭제됐다.
박현철 제트콜 대표는 이에 대해 "인터넷 진흥원 조사를 받았고 유출된 고객정보는 21만 4000건"이라고 해명해 왔다.
이재구 기자 jklee@g-enews.com
![[단독] 머스크, ‘표현의 자유 수호’ 전국 서명운동 추진 선언](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=20240419091640080289a1f3094311109215171.jpg)
