Lovense 사용자 이메일 주소 유출 가능성 제기: 보안 취약점과 대응 방안

최근 성인용품 제조사 Lovense에서 사용자 이메일 주소가 유출될 수 있는 심각한 보안 취약점이 발견되어 논란이 일고 있습니다. 이 취약점을 통해 공격자는 사용자의 사용자 이름만으로도 이메일 주소를 알아낼 수 있다고 합니다. 이는 Lovense 사용자들의 개인 정보 보호에 심각한 위협이 될 수 있으며, 피싱 공격과 같은 2차 피해로 이어질 가능성도 제기되고 있습니다.

Lovense의 취약점: 사용자 이름으로 이메일 주소 추출 가능

보안 연구진 BobDaHacker, Eva, Rebane은 Lovense 시스템의 취약점을 발견했습니다. 공격자는 사용자의 사용자 이름을 알고 있다면, 자신의 Lovense 계정(일반 사용자 계정으로도 충분)에서 스크립트를 사용하여 가짜 이메일을 생성할 수 있습니다. 이 가짜 이메일을 채팅 시스템에 "친구"로 추가하면, 시스템이 연락처 목록을 업데이트하는 과정에서 사용자 이름 뒤에 숨겨진 실제 이메일 주소가 배경 코드에 노출되는 방식입니다.

자동화된 이메일 주소 추출 공격

이 과정은 자동화가 가능하며, 1초 이내에 완료될 수 있다는 점이 문제입니다. 이는 공격자가 수천, 수십만 개의 이메일 주소를 빠르고 효율적으로 수집할 수 있음을 의미합니다. Lovense는 전 세계적으로 약 2천만 명의 고객을 보유하고 있어, 공격 표면이 상당히 넓은 편입니다.

늦어지는 Lovense의 대응

문제는 Lovense 측의 대응이 늦어지고 있다는 점입니다. 계정 탈취를 가능하게 하는 또 다른 심각한 결함은 빠르게 해결되었지만, 이 이메일 주소 유출 취약점은 아직 수정되지 않았습니다. Lovense는 문제 해결에 "몇 달"이 더 필요하다고 밝혔습니다. 현재 임시 방편으로 프록시 기능을 도입했지만, 제대로 작동하지 않는다는 보고도 있습니다.

개인 정보 보호를 위한 사용자의 노력

이번 사건은 개인 정보 유출이 피싱 공격, 신분 도용, 금전 사기, 랜섬웨어 공격과 같은 더 심각한 범죄로 이어질 수 있다는 점을 시사합니다. Lovense 사용자라면 자신의 정보가 유출되었는지 확인하는 것이 중요합니다. "HaveIBeenPwned?" 웹사이트에서 자신의 이메일 주소가 유출된 적이 있는지 확인할 수 있습니다. 또한 Google 계정에 비밀번호를 저장하는 경우, Google의 비밀번호 확인 도구를 사용하여 비밀번호가 손상되었는지 확인하고, 안전한 비밀번호 관리자를 사용하는 것이 좋습니다.

맺음말

Lovense의 이번 보안 취약점은 사용자들의 개인 정보 보호에 대한 경각심을 일깨워주는 사례입니다. 기업은 보안에 대한 투자를 늘리고, 사용자들은 자신의 정보를 보호하기 위한 노력을 게을리하지 않아야 합니다.