본문 바로가기 주메뉴 바로가기 검색 바로가기
인도 경찰 생체 데이터 유출, 앞으로 발생할 문제 드러내
상태바
인도 경찰 생체 데이터 유출, 앞으로 발생할 문제 드러내
인도 경찰과 관련된 지문과 안면 이미지 수천 개가 온라인에 유출됐다. 보안 전문가는 이번 데이터 유출 사태가 앞으로 생체 데이터 수집량이 증가하면서 발생할 문제를 경고한다고 진단했다.
By MATT BURGESS, WIRED US

인도 법률 집행 기관과 경찰국 수천 곳에서 보유한 근로자의 개인 정보가 온라인에 유출되었다. 유출된 정보 중에는 지문 인식, 안면 스캔 이미지, 서명, 문신 상세 정보 및 신체에 남은 흉터 등도 있다. 유출된 개인 정보 목록만으로 경각심을 갖기 부족하다고 판단하기라도 한 듯 사이버 범죄 세력이 즉시 유출된 데이터와 유사한 경찰 생체 데이터를 텔레그램에서 홍보하기 시작했다.

2024년 4월, 보안 연구원 제레미아 폴러(Jeremiah Fowler)가 인도, 호주, 미국에 사무실을 둔 IT 개발 및 외주 기업인 쏘트그린 테크놀로지스(ThoughtGreen Technologies)와 연결된 상태에서 노출된 웹서버의 민감한 파일을 발견했다. 총 160만 개에 이르는 문서를 보관한 500GB에 육박하는 데이터에는 2021년부터 폴러가 파일을 발견한 2024년 4월 초까지 수집한 교사, 철도 근로자, 법률 집행 기관 관료의 민감한 개인 정보 수집 사항이 저장되었다. 출생 등록 서류와 학위, 교육 인증서, 입사지원서 등도 저장되었다.

와이어드와 직접 발견한 내용을 단독으로 공유한 폴러 연구원은 발견한 다량의 정보 중 가장 우려스러운 정보는 인도 법률 집행 기관이나 군부대 소속 개인의 인증 정보라고 전했다. 구성 오류가 발생한 서버를 폐쇄할 수 있으나 대규모 생체 데이터 유출 사건은 지문, 안면 이미지 등 생체 데이터를 수집한 뒤 보관하는 기업의 위험성과 유출 사고 발생 시 데이터 악용 방식 등을 강조한다.

폴러 연구원은 “이름이나 은행 계좌 정보는 변경할 수 있다. 하지만 실제 생체 정보는 변경할 수 없다”라며, 문제의 심각성을 강조했다. 웹사이트 플래닛(Website Planet)에 이번 연구 결과를 게재한 폴러 연구원은 생체 데이터 유출 시 사이버 범죄 조직이나 사기꾼 세력이 추후 사용자를 겨냥한 공격을 개시할 수 있어 민감한 법률 집행 기관의 지위의 위험성이 커질 수 있다고 경고했다.

폴러 연구원이 조사한 데이터베이스 내에는 모바일 애플리케이션과 설치 파일 여러 개가 저장되었다. 그중에는 ‘안면 소프트웨어 설치’ 파일과 용량 총 8GB에 이르는 안면 데이터를 보관한 별도의 폴더도 있었다. 실제 인물의 안면 사진에는 종종 안면 인식 시스템에서 얼굴 간 거리를 측정할 때 사용하는 컴퓨터 생성 직사각형 그래프도 포함되었다.

폴러 연구원은 경찰국 관료와 관련성이 있는 ‘신체 효율성 테스트(Physical Efficiency Tests)’로 분류된 문서는 총 28만 4,535개에 이른다고 전했다. 법률 집행 기관 관료의 입사 지원서와 프로필 사진, ‘코에 패인 자국’, ‘턱부위 상처 자국’ 등 개인의 신체 특징 상세 사항을 포함한 신분증 문서도 있었다. 유출된 파일에 포함된 이미지 중 적어도 한 장은 생성된 인물 문서와 관련된 사진으로 나타났다. 폴러 연구원은 “가장 먼저 수많은 지문 데이터를 발견했다”라고 말했다.
 
[사진=Freepik]
[사진=Freepik]

인도 디지털 권리 단체 인터넷자유재단(Internet Freedom Foundation) 전무 패트릭 와그레(Prateek Waghre)는 인도 전역에서 생체 데이터 수집이 매우 광범위한 영역에서 발생하고 있으나 법률 집행 기관 관료의 보안 위험성이 더해지는 상황이라고 전했다. 와그레 전무는 “정부 기관 직원이나 관료 인증 대부분 생체 시스템에 의존한다. 생체 데이터 침해로 피해를 보았을 가능성이 있다면, 개인 데이터 악용 후 접근해서는 안 되는 민감 정보에 누군가가 접근할 수 있는 상태이다”라고 설명했다.

법률 집행 기관 관료의 생체 데이터 중 이미 온라인에 공유된 데이터도 있다. 폴러 연구원은 노출된 데이터베이스가 폐쇄된 후 수백 명이 가입한 텔레그램 채널에서 특정 개인을 포함한 인도 경찰 데이터를 판매한다고 주장하는 것을 발견했다. 폴러 연구원은 “텔레그램 채널에서 판매한다고 주장하는 데이터 구조와 스크린샷, 몇 가지 폴더 명칭 모두 노출된 웹서버에서 직접 발견한 것과 일치했다”라고 말했다. 폴러 연구원은 윤리적 이유 때문에 텔레그램 채널을 운영하는 사이버 범죄 조직이 판매하는 데이터를 구매하지 않았기 때문에 실제로 판매한다고 주장하는 데이터가 유출된 데이터와 100% 일치하는가 확인하지는 못했다.

쏘트그린 테크놀로지스 직원은 와이어드에 보낸 메일을 통해 “쏘트그린 테크놀로지스는 데이터 보안을 진지하게 생각하고, 유출된 데이터 보호 조처를 즉각 시행했다. 데이터가 민감한 탓에 메일로는 특정 사항과 관련하여 의견을 전달할 수 없다. 다만, 내부에서 이번 데이터 유출 사태와 같은 일이 반복되지 않도록 사건을 철저히 조사 중이라는 점은 확실히 말할 수 있다”라고 전했다.

해당 직원은 추가로 보낸 메일을 통해 쏘트그린 테크놀로지스 측이 데이터 유출 사태와 관련하여 인도 법률 집행 기관에 항의했다고 전했으나 항의를 보낸 기관은 구체적으로 밝히지 않았다. 쏘트그린 테크놀로지스 직원은 인도 경찰 생체 데이터를 판매한다고 주장하는 내용의 텔레그램 스크린샷을 본 뒤 텔레그램에서 판매하는 데이터가 쏘트그린 테크놀로지스의 데이터가 아니라고 주장했다. 텔레그램은 인도 경찰 생체 데이터 판매와 관련한 와이어드의 의견 공개 요청에 답변하지 않았다.

인도 개인 연구원인 쉬반기 나라얀(Shivangi Narayan) 연구원은 인도 데이터 보호법이 더 엄격한 방향으로 개정되어야 할 필요가 있으며, 기업과 기관은 훨씬 더 신중하게 데이터를 관리해야 한다고 주장했다. 나라얀 연구원은 “인도에서 수많은 데이터가 수집되지만, 수집한 데이터를 제대로 저장하는 방법에 신경 쓰는 이는 없다”라고 말했다. 데이터 보안 침해 공격이 주기적으로 발생하는 탓에 데이터 보안 침해 사실이 알려져도 충격을 받는 이가 거의 없는 수준이 되었다. 2024년 5월 초, 어느 한 사이버 보안 기업이 경찰과 용의자 정보를 포함하여 인도 내 어느 한 경찰국과 관련된 안면 인식 데이터 침해 사실을 발견했다.

하지만 문제는 더 광범위한 영역에서 발생한다. 세계 각지의 정부 기관과 기업, 기타 기관의 신원 인증 혹은 감시 기술의 일부분으로 생체 데이터 수집 의존도를 높이면서 생체 정보의 온라인 유출 및 악용 위험성도 커졌다. 일례로, 호주에서는 안면 인식 데이터 유출로 수백 명이 피해를 보고, 결국에는 피싱 메일을 받는 피해로 이어졌다.

폴러 연구원은 “신원 인증 목적으로 생체 데이터를 사용하는 국가가 매우 많다. 생체 데이터는 사용하는 곳과는 다른 곳에 저장된다. 수집한 생체 데이터를 외부 기업이나 민간 기업에 저장한다면, 데이터 관리 권한을 잃게 된다. 데이터 탈취 공격 발생 시 더 나은 대책이 없는 상태에서 심각한 피해를 겪게 된다”라고 경고했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A Leak of Biometric Police Data Is a Sign of Things to Come
이 기사를 공유합니다
RECOMMENDED