사이버 에센셜 계획의 소프트웨어 플랫폼에서 오류가 발생하면서 민감한 내용을 포함하고 있어 보호받아야 하는 계약을 맺은 컨설팅 업체 전자 메일 주소가 공개된 것이다.
전자 메일 주소가 노출되면서 이 업체들을 대상으로 한 피싱 및 스피어 피싱 공격의 위험이 커질 수 있다.
정부 관계자는 "사이버 에센셜 평가를 위해 사용하는 퍼베이드(Pervade) 소프트웨어 플랫폼의 구성 오류로 인해 기업들이 평가를 신청할 때 사용한 전자 메일 주소와 회사 이름 등이 제3자에게 노출됐다"고 발표했다.
그는 이어 "하지만 평가 플랫폼의 보안이 손상된 것은 아니다. 평가에서 제공한 답변과 각 기업이 받은 보고서는 안전하다"며 "전자 메일 주소 및 회사 이름 이외의 정보는 노출되지 않았다"고 덧붙였다.
웹 보안 회사인 하이테크 브릿지 CEO인 일리아 콜로텐코는 "이는 매우 심각한 문제며 민감한 정보가 포함된 기록이 대량 유출된 사건을 단순한 '데이터 유출'이라고만 표현해서는 안 된다"면서 "전자 메일 주소가 유출된 회사는 피싱 공격의 대상이 될 수 있다. 안타깝게도 이런 데이터 유출 사건은 피하기 어렵다"고 밝혔다.
그는 이어 "정부의 웹 사이트에는 수년 동안 발견되지 않은 훨씬 위험한 취약점이 있을 것"이라며 "사이버 에센셜 인증을 받기 위해 목록에 추가된 적이 있는 모든 회사는 피싱 공격을 탐지하고 차단할 수 있는 기술을 갖춰야 한다"고 덧붙였다.
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지