소프트웨어 보안 개선에 전념하는 유명한 비영리 단체 OWASP 재단이 최근 일부 회원에게 영향을 미친 데이터 유출 사건이 있었다고 공개했다. 이 사고는 오래된 위키 웹 서버의 잘못된 구성으로 인해 회원 이력서에 포함된 민감한 정보가 노출된 사고다.
OWASP 관계자에 따르면, 미디어 위키 서버의 잘못된 구성으로 인해 2006년부터 2014년 사이에 회원들이 제출한 이력서에 무단으로 액세스할 수 있었던 것으로 밝혀졌다. 이 기간 동안 회원들은 가입 절차의 일부로 OWASP 커뮤니티와의 관계를 증명하기 위해 이력서를 제출해야 했다.
노출된 이력서에는 이름, 이메일 주소, 전화번호, 실제 주소 및 기타 관련 세부 정보를 포함한 풍부한 개인 식별 정보가 포함되어 있었다. OWASP는 더 이상 멤버십 프로세스의 일부로 이력서를 수집하지 않지만, 잘못된 구성으로 인해 이 기간의 오래된 이력서에 계속 액세스할 수 있었다.
이 사고에 대해 OWASP는 추가 노출을 완화하고 영향을 받은 데이터를 보호하기 위해 몇 가지 즉각적인 조치를 취했다. 이러한 조치에는 디렉토리 검색 비활성화, 웹 서버 및 미디어 위키 구성에 추가 보안 취약점이 있는지 검토, 노출된 이력서 보안, 클라우드플레어 캐시 삭제 등이 포함된다. 또한 OWASP는 웹 아카이브에 연락해 노출된 이력서 정보를 기록에서 삭제해 줄 것을 요청했다.
OWASP의 선제적인 조치에도 불구하고 유출로 인해 영향을 받은 개인에게 미칠 수 있는 잠재적 영향에 대한 우려는 여전하다. 노출된 개인정보 중 상당수가 오래된 것이지만, OWASP는 예전 데이터로 인해 영향을 받은 개인에게 연락하는 데 어려움이 있음을 인정했다. 재단은 영향을 받은 개인에게 이메일을 통해 통지하고, 특히 정보가 최신 상태이고 휴대폰 번호와 같은 민감한 세부 정보가 포함된 경우 필요한 예방 조치를 취할 것이라고 전했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★