인도 약국 체인 대기업, 고객 데이터와 내부 시스템 노출

Source: TechCrunch

사고 개요

보안 연구원 Eaton Zveare는 DavaIndia 웹사이트에서 보안이 취약한 “슈퍼 관리자” 애플리케이션 프로그래밍 인터페이스(API)를 발견했습니다. 이 결함으로 누구나 높은 권한을 가진 슈퍼‑관리자 계정을 생성할 수 있었습니다. Zveare는 이 문제를 인도 사이버 보안 당국에 비공개로 보고했으며, 이후 공개 게시물 여기에 자신의 발견을 공개했습니다.

범위 및 영향

• 취약한 관리자 인터페이스는 2024년 말부터 운영 중이었습니다.
• 약 17,000건의 온라인 주문이 883개 매장에서 노출되었습니다.
• 노출된 데이터에는 고객의 이름, 전화번호, 이메일 주소, 우편 주소, 총 결제 금액, 그리고 구매한 구체적인 제품이 포함되었습니다.
• 슈퍼‑관리자 접근 권한을 통해 공격자는:
  • 주문 기록을 조회하고 다운로드할 수 있습니다.
  • 제품 목록, 가격 및 할인 쿠폰을 수정할 수 있습니다.
  • 의약품에 대한 처방전 요구 설정을 변경할 수 있습니다.
  • 웹사이트 콘텐츠를 편집하여 변조나 서비스 방해를 일으킬 수 있습니다.

약국 주문 데이터는 건강 상태, 복용 약물 일정 또는 기타 개인 구매 정보를 드러낼 수 있어 프라이버시와 환자 안전에 대한 우려가 크게 증가합니다.

취약점 상세

이 결함은 인증 없이 슈퍼‑관리자 계정 생성을 허용하는 보안이 취약한 관리자 인터페이스에서 비롯되었습니다. 이 설계 오류로 공격자는 다음에 대한 무제한 제어 권한을 얻었습니다:

• 주문 데이터베이스.
• 제품 및 가격 설정.
• 처방전 검증 규칙.
• 프로모션 메커니즘(예: 할인 쿠폰).

대응 및 완화 조치

• Zveare는 2025년 8월에 인도 국가 사이버 비상 대응 기관 CERT‑In에 취약점을 보고했습니다.
• 버그는 몇 주 내에 패치되었으며, 회사의 공식 확인은 2025년 11월 말에야 이루어졌습니다.
• 패치 이전에 이 결함이 악용된 증거는 발견되지 않았습니다.

회사 배경

구자라트에 본사를 둔 Zota Healthcare는 인도 전역에 걸쳐 대규모 DavaIndia 소매점 네트워크를 운영하고 있습니다. 최근 확장 내용은 다음과 같습니다:

• 전국에 2,300개 이상의 DavaIndia 매장 운영.
• 2026년 1월에 발표된 276개의 신규 매장 추가 source.
• 향후 2년간 1,200~1,500개 매장을 추가로 열 계획 source.

참고 자료

• Eaton Zveare의 공개 게시물: https://eaton-works.com/2026/02/13/dava-india-hack/
• 신규 매장에 대한 Business Standard 기사: https://www.business-standard.com/markets/capital-market-news/zota-health-care-gains-after-adding-276-davaindia-stores-in-q3-fy26-126010200369_1.html
• 향후 확장에 대한 MSN 보고서: https://www.msn.com/en-in/lifestyle/pets-animals/zota-health-care-to-pump-rs-350-crore-into-dawa-india-plans-1-500-stores-in-two-years/ar-AA1SOVYR?apiversion=v2&domshim=1&noservercache=1&noservertelemetry=1&batchservertelemetry=1&renderwebcomponents=1&wcseo=1