해외의 자막 공유 사이트 오픈서브타이틀즈(OpenSubtitles)에서 대규모 개인정보 유출 사고가 발생했다. 오픈서브타이틀즈는 사용자들이 직접 제작한 드라마나 영화 자막을 서로 공유하는 사이트로 국내에서도 일부 사용자들이 해외 드라마 자막을 공유할 때 이용하고 있다.
사이트 관리자에 따르면 해커는 지난해 8월 해킹 사실을 알리며, 데이터를 유출하지 않는 조건으로 비트코인을 요구했다고 한다. 오픈서브타이틀즈는 비싼 몸값을 제공할 의사가 없었지만, 이후 해커로부터 사이트의 취약한 보안성에 대한 조언을 받는 등 소통을 통해 지불해야 할 몸값을 낮추는 합의를 이끌어 냈다.
그러나 공격자는 몸값을 받은 후 사이트 복구를 지원하지 않았고, 2022년 1월 11일에 해킹으로 수집한 자료를 온라인에 유출해버렸다. 유출된 자료는 678만 3158명의 오픈서브타이틀즈 사용자의 개인정보로, 여기에는 이메일, IP주소, 사용자 이름, 국적, MD5 해시로 저장된 암호까지 포함돼 있는 것으로 알려졌다. 오픈서브타이틀즈는 사용자의 재무 관련 정보는 손상되지 않았다고 밝혔다.
해커는 SQL 인젝션(injection)이라는 해킹 기법을 사용해 사이트의 슈퍼 관리자 권한을 취득한 것으로 알려져 있는데, 이는 낡은 해킹 기법으로 대부분의 기업들은 이에 대한 방비가 되어 있다. 실제로 사이트 관리자인 OSS는이번 해킹 사고가 낙후된 보안 체계로 인해 발생했다고 고백했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
