미국 1억 9천만 명의 유권자 개인정보 노출

2016년 선거 시즌에 RNC(Repubican National Committee)와 계약을 맺은 딥 루트(The Deep Root)社는 유권자들의 데이터를 

암호화하지 않은 상태로 약 2주 동안 클라우드 기반 스토리지인 Amazon S3 서버에 저장하여 개인정보를 노출된 상태로 방치해 논란 야기 (2017. 6. 20)

 

---

<그림1 _ Amaznon S3에 저장된 미국 유권자의 개인정보 노출>

주요내용

 

미국 유권자 개인정보가 공개된 웹 서버에 노출

- RNC와 계약된 딥 루트는 6월 1일부터 12일 동안 미국 유권자 개인정보를 암호화하지 않은 상태로 방치

- 보안 업체 UpGuard의 사이버 위험 분석가인 Chris Vickery는 약 1억 9천만 명의 유권자의 생일, 주소, 전화번호, 정당 가입, 유권자 등록상태 등 개인정보에 누구나 접근 가능하다는 사실 파악

- 공용 액세스를 개방 상태로 두기 위해 미국 유권자의 개인정보가 잘못 구성된 저장장치 인스턴스에 보관되어 서버의 AWS 하위 도메인을 알고 있는 사람이라면 누구든 해당 데이터 탈취 가능

미국 유권자 데이터베이스가 유출되면 개인정보보호에 대한 우려 제기

- 미국 유권자의 개인정보는 광고를 통해 여론을 좌우하여 선거에 영향을 미칠 우려 존재

- 노출된 폴더 중 ‘Exxon-Mobile’이라는 파일은 석유 및 가스 산업을 지지하는 유권자를 예측하는 데 사용되는 스프레드 시트 및 RNC 식별번호 포함하고 있어 특정 유권자의 화석연료 시추에 관한 생각 예측 가능

* RNC 식별번호: 투표에 등록된 모든 미국시민에게 부여된 고유한 식별번호

딥 루트는 개인정보 노출 건에 대해 전적으로 책임진다는 성명 발표

- 딥 루트는 6월 14일부터 저장소 인스턴스를 비공개로 하여 유권자 개인정보를 보호

- 개인정보가 노출된 기간 동안 데이터베이스를 발견한 Vickery 이외의 사람이 액세스 권한을 얻었지만 Vickery를 제외한 다른 사람이 시스템에 액세스하지 않았으며 데이터 유출 여부에 대해 전적으로 책임진다는 성명 발표

 

시사점

 

클라우드의 데이터베이스에 대한 기본설정을 적합한 보안수준으로 조정하여 그룹이 자신이 컨트롤 가능하도록 유도하는 인식 제고 필요

클라우드에 올린 데이터에 대한 접근 권한 관리 필요

[출처]

1. WIRED, “THE SCARILY COMMON SCREW-UP THAT EXPOSED 198 MILLION VOTER RECORDS”, 2017.06.19.

2. The Register, “US voter info stored on wide-open cloud box, thanks to bungling Republican contractor”, 2017.06.19.

3. Gizmodo, “GOP Data Firm Accidentally Leaks Personal Details of Nearly 200 Million American Voters”, 2017.06.19.