캘거리 주차국, 캘거리 시민들의 개인 정보 노출

캘거리 주차국(CPA) 데이터 서버의 보안상의 문제로 피해 규모는 알려지지 않았으나 캘거리 전역의 운전자들의 개인정보와  일부 사용자의 비밀번호를 포함한 많은 양의 정보가 노출되었다고 한다.

CPA(Calgary Parking Authority)는 온라인 기술 뉴스 간행물 TechCrunch가 7월 27일(화) 이 사실을 보도하기 직전에 이러한 사실에 대해 알게 되었다고 밝히며 이 문제는 같은 날 해결되었다고  전했다. 캘거리 주차국은 제3의 사이버 보안 회사가 연루되어 있을 가능성을 전면 조사 중이라고 한다.

Christina Casallas CPA 대변인은 29일 목요일 CPA가 이 문제를 인지하자마자 즉각 보안 조사에 착수해 문제를 확인하고 데이터에 대한 무단 접근을 제한하는 추가 보안 조치를 실시했으나 어떤 사용자 정보가 유출됐는지는 아직 모른다고 밝혔다.

CPA에 보안 관리자에 의하면 일상적인 웹 매핑 프로젝트를 진행하던 중 서버가 URL을 가진 모든 사용자가 액세스할 수 있는 상태로 비밀번호 보호 없이 노출되어 있는 것을 발견하였다고 한다. 10만 명 이상의 사용자가 입력한 데이터가 노출된 것으로 추정되는 데이터베이스에는 이름, 이메일 주소, 차량 세부 사항, 생년월일, 주소, 주차권 등 세부 사항과 일부 카드 정보, CVV, 만료 날짜, 액세스 토큰 등 결제 세부 정보가 포함되어 있다고 한다.

이 문제를 최초 보도된 TechCrunch에 따르면 암호화되지 않은 특정 정보에는 권한이 있는 당사자만 접근할 수 있도록 하는 기본적인 사이버 보안 원칙이 지켜지지 않았다고 전했다. 사이버보안 컨설턴트 Bob Diachenko는 지난 5월 24일 보안 노출 가능성을 경고하는 이메일을 캘거리 주차국 앞으로 보냈는데 아무런 답변도 받지 못했다고 경찰청에 보낸 이메일의 스크린샷을 트위터에 올렸다.

CPA 측에서는 사이버 보안 전문가가 CPA에 보안에 관한 정보를 제공하려고 한 것에 감사의 뜻을 밝히며 CPA의 IT 및 사이버 보안 팀은 7월 27일 이전에 이 문제와 관련된 어떠한 정보도 받지 못했다고 주장하고 있다. 또한 CPA는 현재 문제 발생 원인 파악과 개선점을 도출하기 위해 내부적으로 후속 조치를 취하고 있다며 알버타주 개인정보보호위원회(Alberta’s Office of the Privacy Commissioner)에도 보안 결함에 대하여 알렸다고 전했다.