본문 바로가기
아는 것 나누기

[아는 것 나누기] 호주 전 총리가 비행기표 사진을 인스타그램에 올렸다가 개인 정보 털린 썰

by Jaime Chung 2023. 7. 9.
반응형

[아는 것 나누기] 호주 전 총리가 비행기표 사진을 인스타그램에 올렸다가 개인 정보 털린 썰

 

다들 아시다시피, 2년간 팬데믹 때문에 해외 여행이 금지되어 있었다가 작년부터 해외 입국 제한이 풀렸다. 덕분에 여행사들과 공항은 다시 성수기를 맞은 듯하다. 물론 그동안 재정 문제로 인력을 많이 줄였는데 다시 업무를 재개하려니 손이 많이 부족해 소비자들까지 불편을 겪는다는 점은 간과하기 어렵지만, 어쨌든 사람들은 다시 여행을 꿈꾸고 실제로 여행을 하며 설레임을 되찾았다.

그런 의미에서 오늘은 호주의 전 총리 토니 애벗(Tony Abbott)이 인스타그램에 비행기표 사진을 올렸다가 한 해커에 의해 개인 정보를 털렸던 이야기를 나누고자 한다. 토니 애벗은 2013년부터 2015년까지 제28대 호주 총리직을 맡았다. 2020년 3월 22일, 그는 도쿄에서 시드니로 돌아오는 항공편 비행기표의 사진을 인스타그램에 업로드한다. 이 인스타그램 포스트가 가져올 후폭풍에 대해서는 까맣게 모른 채.

 

이걸 본 한 호주인은 자신의 친구인 (역시나 호주인인) 해커에게 이 인스타그램 포스트를 보여 주며 물어본다. “너 이거 가지고 해킹할 수 있어?” 이 해커의 이름은 알렉스(Alex)였다. 그는 사진 속에 떡하니 나와 있는 전 총리의 이름과 예약 레퍼런스(booking reference) 코드를 보고 콴타스(QANTAS, 호주 항공사) 웹사이트에 들어가 그것으로 예약 정보를 확인한다. 정말 놀랍게도 이 당시에는 콴타스 웹사이트에 있는 ‘예약 확인하기’ 서비스에서 예약 레퍼런스 코드와 탑승자의 성(姓)만 입력하면 탑승권 정보를 확인해서 취소를 하거나, 체크인을 하거나, 수하물을 추가하는 등의 액션을 취할 수가 있었다. 본인이 아니라도 말이다. 다행히 이 해커는 그것은 건들지 않았다.

대신 구글 크롬의 ‘요소 검사(inspect)’ 기능을 이용해 이 화면을 구성하는 요소를 확인했다. 그리고 이 화면 뒤에는 다른 귀한 개인 정보, 예컨대 연락처나 여권 번호, 성별, 생년월일, 여권이 발급된 국가, 여권 만료일, 좌석 위치, 패스트 트랙 여부 등, 항공사가 탑승자에 대해 수집하는 정보가 숨겨져 있다는 사실을 발견했다! 다행히 이 해커는 이 정보를 가지고 뭘 할 생각은 없었다.

해커는 콴타스에 이 사실, 즉 자기처럼 ‘요소 검사’ 기능만 쓸 줄 알아도 이런 사적인 정보를 살펴볼 수 있으니 콴타스 웹사이트가 아주 취약하다는 사실을 알렸다. 콴타스는 취약성을 알려 줘서 고맙다는 답장을 하고 연락이 없더니 다섯 달이 지나서 그 버그를 고쳤다고 알려 왔다. 이 답장은 8월에 받았으나 사실은 7월에 이미 보완이 됐는데 담당자가 이를 알지 못해서 뒤늦게 제보자에게 알린 거라고. 어쨌거나 지금 콴타스 웹사이트에서는 이런 문제가 없다고 한다.

이 해커는 난 놈이어서, 사이버 범죄 전담반에 자기가 한 짓이 사이버 범죄인지 문의도 하고, 심지어 토니 애벗의 개인 비서에게 전화해서 자기가 이러저러한 일을 했는데 이거에 대해서 블로그 포스트를 써도 되냐고 묻기도 했다(미친 소리처럼 들리겠지만 공평하게 그의 입장에서 말하자면, 개인 정보 관리에 조심하라는 뜻으로 알린 것이다). 더욱 놀라운 건 이 이야기를 듣고 토니 애벗이 직접 그에게 전화해서 비행기 탑승권에 얼마나 많은 정보가 들어 있는지 하는 질문도 하고, 사실 자기는 요즘 기술은 잘 모르는데 그런 의미에서 추천할 만한 책이 있냐고 물어보기까지 했다는 거다! 물론 이 모든 이야기를 직접 자기 블로그에 쓴 해커도 대단하다. 요기를 보시라.

이 일로 딱히 피해를 입은 사람은 없고 따지고 보면 이후에 일어날 수도 있는 개인 정보 유출 사건을 예방해 주었으니 잘한 일이긴 하지만, 그래도 이 해커는 참 대담하고 겁이 없구나 싶다. 애초에 이 해커는 이 당시 ‘올해(2020년) 체포되지 않기 챌린지’를 하고 있었다는 게 킬링 포인트. 어쨌든 이제 여러분들은 해외 여행에 아무리 설레고 신이 나도 SNS나 다른 사람들이 볼 수 있는 곳에 탑승권 사진을 찍어 올리는 위험한 일은 하지 않으시리라고 믿는다. 오늘의 재미있는 이야기 끝!

반응형