2015년 11월 14일, 어린이 장난감 회사인 VTech는 해킹당하고 열흘 후인 24일에 해킹당한 사실을 파악했다고 미국 언론매체 마더보드(Motherboard)가 발표했다. 그들은 이 사건으로 해킹당한 자료만 190기가에 이르고 부모 483만여 명의 정보와 어린이 20만 명의 정보가 함께 포함된 것으로 알려졌다.

Vtech는 유아기서부터 어린이들을 대상으로 어린이용 전자 장난감 위주로 공급하는 회사다. 1876년 10월 스티븐 렁(Stephen Leung)과 알란 웡(Allan Wong)에 의해 홍콩에서 설립되어 전 세계 곳곳에 뻗어있다. 최초로 단일 칩을 개발하기도 했으며 1988년 첫 콘솔 게임기가 개발되고 1991년 최초로 900MHz의 무선전화기를 공급, 근래에는 IOT 기능을 도입한 장난감 개발에 힘쓰고 있다. 처음에는 미국과 유럽을 주 고객으로 하여 마케팅 했지만, 이제는 여러 지역을 대상으로 전자 완구 제품을 공급하는 전 세계적인 장난감 기업이다.

2015년 11월 14일, 어린이 장난감 회사인 Vtech는 자신들의 고객인 어린 사용자들과 보호자에 관한 개인정보를 해킹당한다. 이 해킹사건은 마더보드에 의해 최초로 발표되었고 직접 해킹을 한 해커로부터 제보를 받았다고 한다. 해커는 인터넷 연결이 되는 Vtech의 장난감을 대상으로 “Learning Lodge” 애플리케이션의 데이터베이스를 해킹했다. 해킹당한 정보는 아이와 부모님의 이름, 이메일, 암호화된 비밀번호, 보안 질문과 답변, IP 주소, 다운로드 내역 등이 포함되어 있다. 또한, 아이와 부모의 대화 내용이 담긴 녹취 기록, 아이 사진, 부모 사진, 성별 등 개인적인 자료들도 함께 해킹당했다. 이렇게 해킹당한 데이터만 190기가에 다르고 약 5백만 명의 부모 정보와 20만 명 이상의 아이 정보가 포함되어 있다. 이에 따라 Vtech는 당시 이 사건과 관련하여 고객들에게 메시지를 보내고 앞으로 이런 일이 일어나지 않도록 철저하게 보안 조치를 하겠다고 말했다.

해커의 제보를 통해 알려진 이번 해킹사건은 Vtech에서 사용하고 있는 서버, 데이터베이스가 특히나 불안정했다고 말했다. 이 사건으로 Vtech 앱스토어를 통해 다운로드했던 애플리케이션, 게임, 전자책, 소프트웨어 등 인터넷과 연동된 소프트웨어 담긴 정보 대부분 유출되었을 것으로 추측한다. 즉, 장난감을 이용한 많은 사람의 정보가 유출되었을 것으로 보며 더욱이 “learning Lodge” 은 아이들에게 초점을 맞추어 제공했던 서비스로 인기 있던 서비스라는 것을 고려하면 더 많은 아이의 정보가 해킹당한 것으로 본다.

이번 해킹 사건은 웹 취약점 중 가장 잘 알려진 SQL 인젝션(SQL Injection)해킹 공격으로 벌어졌다. SQL인젝션은 악의적으로 SQL 언어를 웹 페이지에 텍스트 필드나 혹은 URL에 입력함으로 권한 없는 사용자가 데이터베이스에 접근하여 데이터를 가져오는 공격기술이다. 이를 통해 인가되지 않은 사용자가 데이터베이스에 접근해서 사용자의 개인 정보 혹은 민감 정보, 관리자의 정보 등을 알아낼 수 있다. 이 공격은 아주 오래된 공격이기도 하고 요즘은 이 공격을 완화하는 것에 대해 잘 나와 있으며 간단하게도 막을 수 있다. 그래서 이 SQL인젝션 공격이 Vtech 홈페이지에 통했다는 것은 그만큼 Vtech 웹 페이지에 많은 취약점이 존재하고 있었다는 말과 같다.

이처럼 해커가 SQL 인젝션 공격을 통해 가져온 정보는 보통 회원가입 때 남기는 정보들이었다. 추가로 IOT 서비스가 나오면서 아이가 장난감을 가지고 놀 때 하는 대화나 아이의 사생활을 침범하는 정보가 인터넷을 통해 오가면서 서버에 있는 데이터베이스에 저장되었다. 이 때문에 데이터베이스에 있던 아이의 사진, 부모의 사진, 심지어는 아이가 장난감을 가지고 놀며 말하는 음성까지 녹취되어 서버에 저장되었다.

처음 Vtech는 이 사건을 쉬쉬하기 바빴다. 그래서 초기의 Vtech는 정확한 피해자의 수를 언급하지 않았고 아이들의 개인정보가 유출되었다는 것도 알리지 않았다. 하지만 결국에는 이러한 해킹 사건을 인정하고 나라별로 정확한 피해자 수를 그래프로 만들어 발표하였다. 그래프에 따르면 대부분 피해는 미국, 프랑스, 영국, 독일이었다.

이처럼 Vtech는 자신들의 데이터베이스가 안전하지 않았다는 것을 인정하고 자신들은 다른 이가 이를 알려주기 전까지 해킹이 일어나고 있었다는 것을 몰랐다고 말했다. 보안 연구가 Mark Nunnikhoven은 이번 해킹 사건에 대해서 Vtech가 고객들의 정보를 저장하고 수집하는 것에 대해 무척이나 조심스럽지 못했다고 평가했다.

해커의 암호화 된 대화 로그에 따르면 Vtech의 웹페이지 취약점을 찾는 동안 해커는 수천 개의 부모와 아이 사진을 발견할 수 있었고 정확히 이 사진들이 합법적인 사진인지 분간하기 어려웠다고 말했다. 또한, 자신이 다운받은 190기가보다 더 다운로드를 받을 수 있었다는 것과 약 230만 명의 어린이 사용자가 이런 위험에 노출되어 있음을 말했다.

해커는 Vtech 웹 사이트가 취약하다는 것을 검증하기 위한 자료들은 언론매체 마더보드와 공유를 했지만 다른 이들에게 이 자료를 팔거나 게시하지 않을 것이라고 말했다. 더욱이 그는 이렇게 악의적인 목적으로 이러한 자료를 쉽게 얻을 수 있는 환경과 자신이 이 모든 자료를 얻을 수 있었다는 것이 안타깝다며 암호화된 채팅으로 언론매체 마더보드에 전했다.

마더보드는 해커에게 넘겨받은 자료를 유지보안전문가 트로이 헌트의 도움으로 분석했다. 헌트가 말한 바로는 해커가 넘긴 자료에는 4,833,678개의 이메일과 그에 해당하는 비밀번호를 확인하였다. 비밀번호는 평문으로 저장된 것은 아니지만, 해시 또는 MD5로 알려진 알고리즘으로 보호되어 있었다. 하지만 이 또한 해커가 깨려고 하면 깰 수 있는 부분이라며 헌트는 말했다. 전송과정에서도 SSL이 적용하지 않아 해커가 악의적인 목적으로 중간에 가로채기할 수 있으며 전송되는 암호가 평문으로 되어 있어 암호가 노출된 채로 전송된다고 말했다. 또한, 암호 및 계정 복구하기 위해 사용되는 질문과 답은 암호화되지 않고 저장되어 있었다. 이는 다른 사용자가 암호화되지 않은 질문과 답변을 보고 암호를 초기화하거나 원하는 비밀번호로 변경할 수 있다는 잠재적 위협을 얘기했다.

Vtech의 무분별한 개인정보 수집도 문제가 되었다. 아이가 회원가입을 할 때 저장되는 요소, 이름과 집 주소를 통해 개인의 식별이 가능하고 그 아이의 부모에 대한 정보도 데이터베이스 연결을 할 수 있다고 이야기했다. 이는 아이가 가지고 노는 장난감이 인터넷과 연결되어 보호자와 연결하고 보호자는 아이와 연결하기 위해 보호자도 회원가입을 해야 했다.

이러한 해킹사건은 2015년 12월 21일 Vtech 해킹사건의 용의자로 추정되는 남자가 체포되면서 잠잠해졌다. 그는 21살의 영국인 남자였다. 당시 그는 자신이 해킹한 자료를 마더보드에 제공했을 때처럼 이러한 보안 적으로 취약한 부분을 다른 이들이 인식하고 고쳐 나가길 바랐다고 말했다. 그를 체포한 경찰 측에서도 그에 대한 세부 사항은 공개하지 않았으며 그가 해킹한 자료는 유출되지 않고 스스로 언론매체 마더보드에 알렸다는 것을 고려하여 그가 어떻게 될지에 대해서 말을 아꼈다.