2024년 1월, 온라인 프로젝트 관리 도구인 트렐로(Trello)에서 1500만 명 이상의 사용자 이메일 주소가 해킹 포럼에 유출된 사건이 발생했다. 이 사건은 'emo'라는 해커가 트렐로의 보안이 취약한 API를 악용해 사용자 이메일 주소와 공개 프로필 정보를 수집하면서 벌어졌다.
해커 'emo'는 2024년 1월에 5억 개의 이메일 주소 목록을 트렐로 API에 입력하여 트렐로 계정과 일치하는 이메일 주소를 확인했다. 이 방법을 통해 15,115,516명의 사용자 프로필이 생성되었고, 여기에는 이메일 주소, 사용자 이름, 전체 이름 등 계정 관련 정보가 포함되었다. 이번 유출은 트렐로 내부 시스템에 대한 비인가 접근 없이 공개 API 엔드포인트의 취약점을 악용한 것이었다.
유출된 데이터에는 이메일 주소뿐만 아니라 사용자 이름, 전체 이름, 계정 관련 정보가 포함되어 있어 피싱 및 신원 도용의 위험이 크다. 이번 데이터 유출로 인해 해커들은 더욱 정교한 피싱 공격을 수행할 수 있게 되었으며, 사용자들에게 더욱 신뢰할 수 있는 사기 행각을 펼칠 수 있게 되었다.
또한, 트렐로를 사용하는 조직의 경우, 조직 구조나 프로젝트 계획 등 민감한 정보가 유출될 가능성이 있어 더 큰 보안 위험에 처할 수 있다. 이런 정보는 산업 스파이나 사보타지 같은 악의적인 활동에 악용될 수 있다.
트렐로의 소유주인 아틀라시안(Atlassian)은 이번 유출이 트렐로 REST API의 오남용으로 발생했음을 확인했다. 이에 트렐로는 인증되지 않은 사용자가 이메일 주소를 사용해 공개 프로필 정보를 조회하는 기능을 제한하고, 의심스러운 활동을 감지하기 위한 모니터링을 도입했다. 하지만 이번 사건은 API 보안의 중요성을 다시 한번 생각캐한 사건이다.
이번 유출 사건은 GDPR과 같은 데이터 보호 규정 하에서 트렐로가 상당한 벌금과 규제 조사를 받을 가능성이 크다. 트렐로 사용자들은 비밀번호를 변경하고, 2단계 인증(2FA)을 활성화하여 추가 보안층을 더할 것을 권장한다. 또한, 계정 활동을 정기적으로 모니터링하여 이상 징후를 발견하면 즉시 조치를 취하는 것이 중요하다.
트렐로 데이터 유출 사건은 온라인 플랫폼의 취약성과 API 보호의 중요성을 상기시켜준다.