미국 일리노이주 내 여러 지역의 민감한 유권자 정보를 포함한 데이터베이스가 인터넷에 공개 접근할 수 있는 상태로 유출되었다. 이 때문에 사회 보장 번호 일부분이나 전체 번호, 사망 확인서 등 각종 서류는 물론이고 운전면허증 등 460만여 명의 기록이 외부로 공개되었다. 장기간 보안 연구원으로 활동한 제레미아 파울러(Jeremiah Fowler) 연구원은 일리노이주 드칼브 카운티 유권자 정보를 포함한 데이터베이스 중 하나를 발견하고, 결국에는 다른 데이터베이스 12개를 추가로 발견했다. 파울러 연구원이 발견한 데이터베이스 중 패스워드 보호가 된 데이터베이스는 단 하나도 없었으며, 모두 어떠한 형태든 접근 인증 요구가 없었다.
범죄 조직과 국가 주도 해커 조직이 이전보다 더 교묘한 공격을 개시하는 가운데, 주요 기반 시설의 위협이 제기되었다. 그러나 불분명한 소프트웨어가 아닌 안전 보호망이 허술한 채로 방치되어 악의적인 공격 세력이 악용할 만한 문제가 노출된 채로 남은 게이핑 에러(gaping errors)에서 종종 가장 큰 취약점을 발견하게 된다. 미국 전역에서 몇 년간 선거 보안 지지 노력을 펼치면서 미국 내 여러 주와 지방의 사이버 보안 문제 인식도가 크게 개선되었다. 그러나 2024년 미국 대통령 선거일이 빠르게 가까워지면서 선거 보안 취약점 발견 소식은 여전히 추가 감독으로 다루어야 할 문제가 많다는 현실을 반영한다.
파울러 연구원은 와이어드와의 인터뷰에서 “과거, 유권자 데이터베이스를 발견한 적이 있었다. 따라서 누군가가 구매한 하위 수준 마케팅 활동 데이터베이스인가 확인하고자 했다. 그러나 유권자 등록 기록을 발견했다. 실제로 문서 스캔본과 온라인 신청 스크린샷이 있었다. 등록된 유권자의 공식 유권자 문서와 부재자투표 대상자의 이메일 주소 정보를 보았다. 일부 이메일 주소는 군대 이메일 주소였다. 유권자의 사회 보장 번호와 운전면허증 번호, 사망 확인서 등을 보고는 유출되어서는 안 되는 정보임을 파악했다”라고 설명했다.
[사진=Freepik]
파울러 연구원은 공개 기록을 통해 유권자 정보를 포함한 데이터베이스가 노출된 모든 지역이 일리노이주 기반 선거 관리 서비스 기업인 플래티넘 테크놀로지 리소스(Platinum Technology Resource)와 관련이 있다는 사실을 확인했다. 플래티넘 테크놀로지 리소스는 유권자 등록 소프트웨어와 투표용지 인쇄 서비스 등 다양한 디지털 툴을 제공한다. 드칼브 카운티 등 일리노이주의 여러 지역이 플래티넘 테크놀로지 리소스를 선거 서비스 공급사로 채택했다. 드칼브 카운티는 와이어드의 문의에 플래티넘 테크놀로지 리소스와의 관계를 확인시켜 주었다.
파울러 연구원은 플래티넘 테크놀로지 리소스에 2024년 7월 18일(현지 시각), 데이터베이스 보안이 보호되지 않은 사실을 보고했으나 어떠한 답변도 받지 못했다. 파울러 연구원의 보고 이후에도 데이터베이스 정보는 계속 인터넷에 노출된 상태였다. 파울러 연구원은 공개 기록을 더 깊이 파헤치면서 플래티넘 테크놀로지 리소스가 일리노이주 관리 서비스 공급사인 메이지늄(Magenium)과 협력한 사실을 확인하고, 7월 19일 자로 메이지늄에도 보안 문제를 보고했다. 이번에도 파울러 연구원은 어떠한 답변도 받지 못했다. 다만, 데이터베이스에 보안이 적용되어 공개적으로 볼 수 없는 상태가 된 것을 확인할 수 있었다. 플래티넘 테크놀로지 리소스와 메이지늄 모두 와이어드가 여러 차례 보낸 의견 공개 요청 메일에 답변하지 않았다.
와이어드는 2024년 8월 2일 자로 플래티넘 테크놀로지 리소스가 데이터베이스 유출 문제를 겪은 지역 알림을 배포하기 시작한 사실을 확인했다. 플래티넘 테크놀로지 리소스는 “유권자 등록 문서를 포함한 파일 저장소가 스캔되었을 가능성을 인지했다”라며, 노출된 데이터베이스는 시스템의 심각한 보안 침해를 의미하지 않는다고 덧붙였다. 플래티넘 테크놀로지 리소스는 “철저한 조사를 실시했다. 조사 결과는 현재 유권자 등록 정보 유출이나 탈취가 발생했다는 증거가 없다는 현재의 믿음을 지지한다. 플래티넘 테크놀로지 리소스는 이번 기회를 계기로 유권자 등록 문서 보호를 위한 안전 대책을 새로이 추가로 적용한다”라고 안내했다.
일리노이주 데이터 유출 알림법에는 보안 유출 문제 발생 시 45일 이내로 주 정부에 사실을 알려야 한다는 규정이 있다. 일리노이주 샘페인 카운티의 표준 버전 기술 서비스 계약은 공급사가 데이터 보안 유출 문제 확인 후 15분 이내로 피해가 발생한 지역에 사실을 알려야 한다는 의무를 명시한 정보공개법(Freedom of Information Act)에 따라 공개되었다.
파울러 연구원은 노출된 정보 때문에 데이터 유출 피해를 본 개인의 신원 탈취 및 기타 민감 정보 스캔 관련 의구심이 더 커질 수 있다고 언급했다. 또, 여러 부재자 투표 요구사항 제출이나 유권자의 합법적 투표권을 두고 의문을 제기하고는 중재까지 시간이 걸리는 문제를 일으키는 의심스러운 활동 개시에 악용될 수도 있다고 추가로 전했다. 다만, 데이터베이스에 포함된 사망 확인서 등 기타 문서는 선거구 관료가 유권자 등록 관리, 정확한 투표수 집계를 위해 미국 전역에서 유권자 등록을 위해 하는 일을 반영한다고 덧붙였다.
파울러 연구원은 “기본 데이터 보안은 확실히 나아졌다. 최근의 유권자 정보를 담은 데이터베이스 유출 사태가 흔한 일이 아니라고 본다. 하지만 개방된 공개 인터넷 공간을 이용하면서 특수한 툴이 없는 상태에서도 유권자 정보를 담은 데이터베이스를 발견했다. 결국, 주요 기반 시설이 노출된 셈이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202408/5739_7383_2035.jpg)
뉴스레터 신청