미국에 본사를 두고 있는 패스트푸드 기업 버거킹은 전 세계에 1만 9천 개 이상의 매장과 18억 달러의 매출을 벌어들이는 세계적인 대기업이다.

사이버 보안 매체인 사이버뉴스(Cybernews) 연구팀은 버거킹의 프랑스 지사가 웹사이트의 잘못된 설정으로 중요한 자격 증명을 공개적으로 노출시킨 정황을 포착했다고 밝혔다.

2023년 6월 1일, 사이버뉴스 연구팀은 버거킹의 프랑스 웹사이트 내에 공개적으로 접근할 수 있는 환경 변수 파일(.env)을 발견했다. 이 파일은 구인 게시물에 사용되는 하위 도메인에서 호스팅된 것으로 확인됐다.

유출된 데이터 자체로는 웹사이트에 대한 완벽한 제어권을 얻기에 충분하지 않지만, 공격자가 다른 취약한 엔드포인트를 식별할 수 있는 경우 권한 탈취 프로세스를 상당히 단순화할 수 있다.

더욱이 이 파일은 데이터베이스에 대한 자격 증명을 포함하고 있었다. 법적인 이유로 연구자들은 데이터베이스에 정확히 무엇이 저장되어 있는지 확인할 수 없었지만, 아마도 취업 게시물과 지원자들이 입력한 다른 데이터일 것으로 추측했다. 이 자격 증명을 사용하면 데이터베이스에 연결된 내부 데이터를 읽거나 수정할 수 있기 때문에 위험하다.

연구팀이 관찰한 또 다른 민감한 정보는 구글 태그 매니저 ID다. 구글 태그 매니저는 웹사이트 또는 모바일 앱에서 태그로 총칭되는 업데이트 측정 코드 및 관련 코드 조각을 최적화하는 데 사용되는 도구다.

구글 태그 매니저 ID는 웹사이트에서 사용할 태그 매니저 컨테이너를 지정할 수 있다. 같은 자격 증명을 보유한 웹사이트의 다른 취약점과 결합하면 공격자는 잠재적으로 태그 ID를 자신의 컨테이너 ID로 변경할 수 있다. 이를 통해 공격자는 해당 웹사이트에서 임의의 자바스크립트 코드를 실행할 수 있다.

이처럼 공격자에게 유출된 자격 증명은 관련 시스템을 공격하는 사이버 공격 도구로 악용될 수 있다. 더욱이 프랑스의 버거킹 웹사이트가 입사 지원서를 제공하고 있기 때문에 이를 다운로드한 사람들이 잠재적으로 영향을 받았을 가능성도 있다.

한편, 프랑스 버거킹에서 중요한 데이터가 유출한 것은 이번이 처음이 아니다. 2019년에도 비슷한 실수로 프랑스 버거킹 매장에서 제품을 구매한 어린이들의 개인식별정보(PII)가 유출된 사례가 있었다.

사이버뉴스는 이번에 발견한 취약점을 버거킹에 전달했으며, 버거킹 프랑스 지사는 해당 문제를 해결했다고 밝혔다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기