서브스택, API 취약점 악용 스크래핑 공격으로 사용자 69만7313건 개인정보 유출 사고
이메일·전화번호 등 노출 따른 피싱·2차 사회공학 공격 확산 우려

[보안뉴스 김형근 기자] 뉴스레터 플랫폼 서브스택(Substack)이 외부 공격자의 침입으로 약 70만명에 달하는 사용자 개인정보가 유출되는 사고를 당했다.

이번 공격은 지난해 10월 발생했으나, 서브스택은 4개월이 지난 올해 2월 3일에야 이를 발견했다. 보안 감시 체계가 제대로 작동하지 않았다는 비판이 나온다.

크리스 베스트(Chris Best) 서브스택 CEO는 영향을 받은 사용자들에게 사과 메일을 보내 이메일 주소와 전화번호 등 정보가 유출된 사실을 공식 인정했다. 유출된 데이터는 총 69만7313건이며, 여기엔 사용자 이름과 ID, 프로필 사진, 소개글 및 내부 메타데이터가 포함돼 있다.

서브스택은 계정 비밀번호나 신용카드 번호, 은행 계좌 같은 중요한 금융 정보는 이번 유출 범위에 포함되지 않는다고 밝혔다.

공격자는 보안이 취약한 API 엔드포인트를 통해 데이터를 모으는 스크래핑 방식을 사용한 것으로 보이며, 현재 관련 정보를 해킹 포럼에 게시한 상태다.

보안 전문가들은 유출된 정보가 그 자체로는 치명적이지 않지만, 피싱 공격이나 사회공학적 기법을 통한 추가 범죄에 악용될 가능성이 높다고 경고했다. 특히 유명 해킹 조직 스캐터드스파이더(Scattered Spider) 등이 이런 정보를 활용해 2차 공격을 수행하는 수법을 자주 사용한다는 점을 지적했다.

서브스택은 현재 시스템 취약점을 보완한 상태이며, 추가 유출 데이터가 있는지 확인하기 위해 조사 중이라고 밝혔다. 하지만 공격자가 4개월이나 시스템 내부에 머물며 방대한 데이터를 유출하는 동안 이를 감지하지 못한 점은 서브스택의 신뢰도에 심각한 타격을 줄 것으로 보인다.

서브스택은 사용자들에게 비밀번호 변경과 다중요소인증(MFA) 설정을 권고했으며, 출처가 불분명한 이메일이나 문자를 주의 깊게 살펴볼 것을 권고했다.

대규모 사용자를 보유한 플랫폼일수록 API 보안과 공급망 관리에 대한 모니터링이 필요함을 보여주는 사례라는 평가다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>