"후오비, 너마저도…" 고객정보 접근 가능한 정보 2년간 공개돼

시민기자인 아론 필립스(Aaron Phillips)가 세계적인 가상자산 거래소인 후오비 글로벌의 황당한 개인정보 유출 사실을 공개했다. 필립스에 따르면 2017년부터 2021년까지 후오비의 모든 장외거래(OTC) 정보가 유출됐다. 여기에는 일부 사용자 정보와 VIP 회원의 정보 등이 대거 포함돼 있는 것으로 알려졌다.

비록 실수이기는 하지만 후오비는 모든 아마존 웹 서비스 S3(Simple Storage Service) 버킷에 쓰기 권한을 부여하는 자격증명 집합을 공유했다. 버킷은 아마존의 S3에 저장된 객체에 대한 일종의 컨테이너, 최상위 디렉토리다.

후오비는 CDN과 웹사이트를 호스팅하는 데 S3 버킷을 사용한다. 때문에 누구나 이 자격증명을 사용해 huobi.com 및 hbfile.net 도메인의 콘텐츠를 수정할 수 있었다. 후오비의 인증정보 유출로 인해 사용자 데이터와 내부 문서도 유출됐다.

일각에서는 후오비의 실수를 이용해 고객 정보를 습득한 해커가 있다면 이 해커는 역사상 가장 큰 규모의 가상자산 도난을 수행할 수 있는 기회를 얻었을 것이란 우려가 나오고 있다. 과거 후오비는 하루에 10억달러(약 1조3190억원) 이상의 거래량을 처리한다고 보고한 바 있기 때문이다.
아론 필립스는 "해당 취약점을 이용하면 후오비의 클라우드 스토리지에 접속할 수 있으며, 사용자 정보 외에 상당량의 가상자산이 탈취당할 수도 있다"고 경고했다.

후오비의 장외거래 정보가 공유된 후, 후오비는 유출된 계정을 삭제했지만 아마존의 메타데이터에 따르면 후오비가 해당 정보를 공유한 시기는 2021년 6월로 확인됐다. 장장 2년간 관련 데이터가 온라인에 유출돼 있었던 것이다.

현재는 모든 조치가 취해진 상황이지만 세계적인 가상자산 거래소 후오비에서조차 이 같은 문제가 발생하면서 중앙화된 거래소(CEX)에 대한 불안감은 더욱 커지게 됐다.


이상훈 글로벌이코노믹 기자 sanghoon@g-enews.com