인도네시아 COVID-19 추적 어플 eHAC, 데이터 유출 발생

vpnMentor의 연구원들은 유출된 eHAC(우리나라의 QR코드 인증 어플과 유사) 데이터베이스는 보안과 암호화가 완벽하지 않았다고함

  • 사이버 보안업체 vpnMentor가 발표한 보고서에 따르면 인니 국내 전자 건강 알림 카드, 즉 eHAC “test and trace” 프로그램 사용자 약 130만 명의 개인 데이터가 오픈 서버에 저장되었을 때 유출되었으며 eHAC 개발자들이 열악한 데이터 개인 정보 보호 프로토콜을 구현했기 때문에 유출이 가능했다고 밝혔음
  • 인도네시아 정부는 인니로의 입국이나 인니 국내선 탑승을 원하는 사람에 대해 보건복지부 공식 홈페이지나 올해 초 출시한 안드로이드와 iOS용 eHAC 모바일 앱을 통해 eHAC 양식을 작성하도록 하고있음
  • 유출된 데이터에는 승객의 주민등록번호, 휴대전화 번호, 여권 정보, eHAC 계정에 첨부된 프로필 사진 등 민감한 개인 신상정보와 승객의 친인척 정보 등이 담겨 있음
  • 또한 승객의 COVID-19 검진 데이터(병원 ID, 검진 결과 및 결과 날짜)도 포함되어 있으며 동시에 인도네시아 226개 병원 및 클리닉의 데이터도 유출되었음
  • vpnMentor는 ’21년 07월 15일 해당 데이터 유출을 발견했으며 eHAC 데이터베이스가 완전히 보호되지 않고 암호화되지 않았기 때문에 쉽게 찾을 수 있었다고함
  • 조사단은 이 자료의 진위여부를 확인한 뒤 일주일 뒤 인니 보건부에 연락해 조사 결과를 발표했지만 아무런 반응이 없었다고 하며 이어 22일 인도네시아 컴퓨터 비상대응팀(CERT)에 연락했으며, 사흘 뒤 eHAC의 호스팅 서비스 업체인 구글과 접촉했다고함
  • 조사단은 이들 기관으로부터 아무런 회신을 받지 못해 22일 BSSN(국가사이버암호진흥원)에 연락해 당일 답변을 받았으며 이틀 후 eHAC 서버가 다운되었다고함
  • 일반적으로 COVID-19 추적 앱은 사용자들, 특히 COVID-19 감염자들로부터 엄청난 양의 데이터를 수집하여 블루투스나 GPS 같은 기술을 이용해 바이러스 전염을 지도화함
  • 전세계 전문가들은 개발자들이 개인정보 보호 및 보안을 제대로 구현하지 못할 경우 사람들이 데이터 침해와 잠재적 위험에 노출될 수 있기 때문에 이러한 앱으로 축적된 데이터 보안에 대해 우려를 표명하였음
  • 이번 데이터 유출 사례는 인도네시아에서 데이터 보호가 얼마나 취약한지를 보여주며 지난 5월 국가 의료 및 사회 보장 기관의 서버가 침입당해 2억 7,900만 인도네시아인들의 데이터가 해커 포럼에 게시된 적이 있으며, 그로부터 두 달 뒤 보험사 BRI Life 고객 데이터도 유출된 바 있음

[출처 : KrASIA]