보안되지 않은 MongoDB 데이터베이스에 2억 7천명 이상의 PII 데이터 유출돼..

- 기사 본문 : https://www.bleepingcomputer.com/news/security/over-275-million-records-exposed-by-unsecured-mongodb-database/

- 기사 요약
보안 검색 연구원인 밥 디아첸코는 쇼단을 이용해 아마존 AWS에서 호스팅하는 공개 접속 가능한 MongoDB 데이터베이스를 발견했다.
노출된 MongoDB 데이터베이스는 2주 이상 인터넷에 보호되지 않은 채로 방치되었으며, 275,265,298개의 인도 시민의 PII(개인 식별 가능 정보) 정보 임을 확인했다. 추가 조사 결과 드러난 자료에는 이름, 성별, 생년월일, 이메일, 휴대전화 번호, 교육내용, 전문정보(직원, 고용이력, 기술, 기능분야), 각 데이터베이스 기록의 현재 급여 등의 정보가 포함됐다.
이러한 데이터 유출이 발생하는 이유는 MongoDB 데이터베이스들이 소유주들에 의해 공개적으로 접속되고 제대로 보호되지 않기 때문에 발생한다.대응방안으로 MongoDB는 MongoDB 데이터베이스를 적절하게 보호하는 방법과 MongoDB 관리자를 위한 보안 체크리스트를 보여주는 설명서 웹 사이트의 보안 섹션을 제공한다.

- 개인 의견
MongoDB를 직접 사용해보지는 않았지만, 개인정보 등과 같은 유출 사건에 대한 기사는 종종 찾아볼 수 있었다. 아직까지 쇼단을 이용하여 간단하게 PII 정보를 식별할 수 있다는 것은 이용자가 안전하지 않은 데이터베이스 설정을 하고 있다는 방증이기도 하다. 예전부터 이용자에 대한 보안의식 고취를 위해 보안교육에 대한 이야기가 많이 나왔지만, 보안의식이 쉽게 올라가지는 않는 것 같다.(예전에 비하면 많이 올라왔지만) 따라서 이제는 이용자만 보안에 신경쓰기보다는 이용하는 사용자도 자신이 사용하는 서버 및 프로그램이 보안상 안전한지, 인증은 받았는지 등을 확인한 후에 이용하면 자신의 중요 정보들을 조금 더 보호할 수 있을 것 같다.

- 관련 기사
 • 이력서 흘리는 중국 업체들, 여러 서버에서 5억 개 노출돼(2019.4.5)
 • 또 몽고DB 유출 사건! 7억 6천만 개의 이메일 주소가 노출돼(2019.3.12)
 • MongoDB의 취약한 인증으로 인한 개인 정보 유출 주의 권고(2019.1.29)
 • MongoDB server leaks 11 million user records from e-marketing service(2018.10.18)