중국 온라인종합쇼핑몰 京东(Jingdong)에서 고객정보 유출돼

중국 온라인종합쇼핑몰 京东(Jingdong)에서 고객정보 유출돼

중국 매체에 따르면 12GB에 달하는 Jingdong의 회원 정보가 12월 10일, 블랙마켓에서 유통되고 있으며, 그 수는 몇천만 건에 달하는 것으로 나타났습니다. 이번에 유출된 정보는 사용자명, 비밀번호, 이메일, QQ계정, 전화번호, 신분증 번호 등인 것으로 밝혀졌습니다. 이 중 비밀번호는 MD5로 암호화되어 있는 것으로 확인되었습니다. 

해당 기사에 대하여 京东(Jingdong)은 공식 입장을 표명했습니다. 이번에 이슈가 된 사건은 2013년, Struts2 보안 취약점으로 인하여 발생한 사고로, 이미 오래 전 해당 취약점을 패치했다는 입장입니다. 또한 당시 계정이 유출된 사용자들에게 계정정보를 변경할 것을 공지했다고도 밝혔습니다. 

이미 오래 전 유출된 정보?

해당 보도자료는 유출된 자료의 일부분이 캡쳐되었습니다. 그 중 일부 사용자의 계정정보와 복호화한 비밀번호로 로그인을 시도한 결과, 로그인이 되는 것을 확인했습니다. (일부 사용자들의 비밀번호는 매우 간단하게 설정되어 있어, 암호화가 진행된 후였음에도 쉽게 복호화를 할 수 있었던 것으로 밝혀졌습니다.) 더욱 우려할 사항은, 공격자가 이렇게 유출된 정보와 다른 홈페이지에서 유출된 정보들을 결합하여 악용할 수 있다는 것입니다. 실제로 많은 사용자들이 여러 웹사이트에서 동일한 계정을 사용하고 있기 때문입니다.

보도자료에 따르면 해당 DB는 이미 여러 명에게 거래된 것으로 나타났으며, 최소한 몇백명의 공격자들이 해당 DB를 갖고 있을 것으로 추측됩니다. 또한 "이미 유출된지 오래된 데이터들이 왜 이 시점에 또 유통이 되고 있는지는 모르겠다"고 밝혔습니다. 

다음은 京东(Jingdong)에서 내놓은 공식 입장 중 일부입니다. 

京东(Jingdong)의 보안사업부에서 해당 보도자료에 근거하여 판단한 결과, 해당 자료는 2013년 Struts2 보안취약점이 발생했을 때 유출된 자료입니다. 당시 중국 내 인터넷 서비스 업체, 은행, 정부기관 등이 영향을 받아 대량의 정보유출 사건이 발생하였습니다. 京东(Jingdong)역시 Struts2의 취약점 문제 발생 후 긴급패치를 진행하였으며, 동시에 정보가 유출되었을 가능성이 있는 사용자들에게 보안공지를 진행하고 대부분의 사용자가 계정정보를 변경했습니다. 하지만 극소수 사용자들은 여전히 유출된 계정을 사용하고 있기 때문에 어느정도의 위협은 존재합니다.

해당 공지를 통해 정보유출의 정황을 사실로 볼 수 있겠습니다. 다만 정보유출 사고는 몇년 전에 이미 발생한 것이 확실해 보입니다.

이번 京东(Jingdong)의 계정유출 사건은 처음 발생한 것이 아니다. 

京东(Jingdong)과 관련하여, 이미 2년 전 정보가 유출된 이력이 존재했습니다. 2014년 3월, 인터넷에 京东(Jingdong)의 계정 정보가 유포되는 사건이 발생했습니다. 하지만 京东(Jingdong)은 대규모 개인정보 유출은 없었으며, 일부 보안이 취약한 계정들이 탈취된 것이라고 해명했습니다.

그 후 2015년, 京东(Jingdong)은 또 한번의 계정정보 유출 사건을 겪었습니다. 京东(Jingdong)의 조사결과 이는 내부자에 의한 사건으로, 京东(Jingdong) 내부 임직원 물류 책임자 3명이 9,000만건의 사용자 정보를 판매한 것으로 드러났습니다.

그 당시 수백명의 사용자들은 京东(Jingdong)을 상대로 소송을 진행했습니다. 이 사용자들은 유출된 정보 때문에 사기를 당했으며, 피해를 입은 총 금액은 수백만에 달한다고 밝혔습니다. 이 밖에도 2014년 alipay에서 20GB의 개인정보가 유출되었으며, 2012년 Yihaodian에서도 90만명의 사용자 정보가 유출되었습니다.

출처 : 

http://mp.weixin.qq.com/s/Ke1I15J384p3NYgO6iejnQ

http://mp.weixin.qq.com/s/UjzfmxsXJZFgqPRRoFqe8Q