영국 Companies House, 보안 결함으로 비즈니스 데이터 노출 확인
Source: Bleeping Computer
Companies House WebFiling의 보안 결함
발견 및 보고
비영리 단체 Tax Policy Associates의 설립자 Dan Neidle은 Ghost Mail의 John Hewitt(결함을 발견한 사람)이 답장을 받지 못한 후 금요일에 영국 기업 등록부에 취약점을 보고했습니다.
“필요한 것은 Companies House에 자신의 계정으로 로그인하고 자신의 회사 대시보드에 접근하는 것뿐이었습니다. 그런 다음 ‘다른 회사에 대해 제출하기’를 선택하고 Companies House에 등록된 5백만 개 회사 중 하나의 회사 번호를 입력하면 됩니다.” — Neidle.
“그 시점에서 인증 코드 입력을 요구받게 되는데, 물론 여러분은 그 코드를 가지고 있지 않습니다. 문제 없습니다. ‘뒤로 가기’ 버튼을 몇 번 눌러 대시보드로 돌아갑니다. 그런데 그 대시보드는 여러분의 것이 아니라 다른 회사의 대시보드였습니다.”
Neidle은 이 결함으로 인해 5백만 개 등록 기업의 데이터가 5개월 동안 노출되었으며, 여기에는 경영진의 집 주소와 이메일 주소도 포함됐다고 덧붙였습니다.
결함 작동 방식
이 기관은 2025년 10월에 WebFiling 시스템을 업데이트하면서 이 문제가 도입되었다고 확인했습니다. 이 결함은 로그인한 사용자만 악용할 수 있었으며, 다음과 같은 행위를 가능하게 했습니다:
- Companies House 등록부에 일반적으로 공개되지 않는 데이터(생년월일, 거주 주소, 회사 이메일 주소 등)를 조회.
- 다른 회사의 세부 정보를 동의 없이 일부 변경.
- 다른 회사의 기록에 대해 무단으로 서류(예: 재무제표 또는 이사 변경)를 제출할 가능성.
이 취약점은 한 번에 하나의 항목씩 데이터를 탈취하고 회사 기록에 접근하는 데만 이용될 수 있었습니다. 사용자 비밀번호는 유출되지 않았으며, 신원 확인에 사용되는 데이터(예: 여권 정보)는 접근되지 않았습니다. 기존에 제출된 문서(재무제표나 확인서 등)는 변경될 수 없었습니다.
기관의 대응
Companies House는 이번 사건을 영국 정보 커미셔너 사무국(ICO)과 국가 사이버 보안 센터(NCSC)에 보고했으며, 취약점이 실제로 이용되어 회사 상세 정보를 접근하거나 변경했는지 여부를 조사하기 시작했습니다.
“현재까지 허가 없이 데이터에 접근하거나 변경된 사례에 대한 보고는 없습니다.”라고 Companies House는 성명에서 밝혔습니다. “하지만 조사는 진행 중이며, 작업이 진행되는 대로 추가 업데이트를 제공할 예정이며, 투명성을 유지하기 위해 최선을 다하겠습니다.”