전 세계 600만명이 이용하는 인기 피트니스 애플리케이션(앱) 펌프업(PumpUp)에서 개인 건강데이터와 신용카드 데이터, 다른 사용자들과 교환한 메시지까지 유출되는 사고가 발생했다.
미국 정보기술(IT)매체 지디넷닷컴은 31일(현지시간) 해당 사건을 보도했다. 올리버 호프(Oliver Hough) 보안 연구원이 문제를 발견하고 지디넷닷컴에 연락했다.
펌프업은 아마존 클라우드에서 호스팅되는 백엔드(back-end) 서버를 비밀번호 없이 노출시켜 민감한 개인정보를 실시간으로 노출시켰다. 백엔드는 프로그램의 뒷부분에 해당되는 서버로 기술적인 기능을 하는 프로그램 영역이다. 사용자 인터페이스(UI)없이 프로세스 형태로만 존재한다.
현재 보안이 적용된 해당 서버는 메시지 브로커처럼 사용자 요청이나 개인 메시지를 다른 앱 사용자에게 전달하고 있는 것으로 나타났다. 사용자가 다른 사용자에게 메시지를 보낼 때마다 앱은 사용자 프로필 데이터와 메시지 내용이 노출된다.
노출된 데이터에는 이메일 주소, 생년월일, 성별, 사용자 위치와 시간대, 사용자의 운동과 활동 목표, 차단된 사용자, 앱 평가 여부 등 같은 개인 정보가 포함됐다.
신장, 체중, 카페인과 알콜 소비, 흡연 빈도, 건강 문제, 의약품, 상해 등 사용자가 입력한 건강 정보도 공개됐다. 일부 사용자들은 암호화되지 않은 신용카드 번호, 유효기간, 카드 검증 값 등 신용카드 데이터도 노출됐다.
사용자의 IP주소 같은 기기 데이터와 암호 없이 사용자 계정에 접근할 수 있게 하는 세션 토큰 정보도 공개됐다. 펌프앱 사용시 페이스북 계정을 사용하는 가입자들은 본인 페이스북 계정 정보도 노출될 수 있는 상황이다.
해당 서버가 얼마나 오랫동안 노출됐는지는 알려지지 않았다. 지디넷닷컴은 펌프업에 해당 사고를 알리기 위해 일주일 전부터 이메일 등으로 연락을 취했지만 답변을 얻지 못했다. 펌프업의 해당 서버는 이번 주 초 보안 상태로 변경된 것으로 보인다.
미국 캘리포니아 주 샌프란시스코에 사무실을 두고 있는 펌프업이 캘리포니아 규제기관에 데이터 위반 사실을 공개할 것인지에 대한 여부도 알려지지 않았다. 캐나다의 의무적인 데이터 유출 신고법은 올해 말에 발효된다.
그러나 많은 앱 사용자 유럽에 있는 만큼 펌프업은 지난달 25일 발효된 유럽연합 일반개인정보보호법(GDPR)를 따라야 한다. GDPR은 규제를 어긴 기업에 전체 매출의 4%까지 벌금으로 부과할 수 있다.
관련기사
- IBM, 왓슨헬스 조직 50~70% 감원 계획2018.06.01
- 엉뚱한 곳 겨누는 규제, 내부 조율도 안돼…플랫폼 C학점2024.05.19
- 삼성전기 "전장용 MLCC로 체질개선...올해 매출 1조 목표"2024.05.19
- "아우보와 협동로봇 생산 협력…내년 1천대 수출"2024.05.19
개인의 건강 정보를 비롯한 민감 정보를 요구하는 헬스케어 서비스는 지속 늘어나고 있다. 펌프업 같은 사례를 방지하고 GDPR 제재를 피하려면 기업의 사업 활동은 보장하면서 개인 정보는 보호하는 보안 정책 필요성이 높아지고 있다.
업계에 따르면 기업, 기관의 3분의 2는 GDPR이 발효되기 몇 주 전부터 대응책을 마련하지 못했다.
