인도의 거대 약국 체인 DavaIndia, API 보안 결함으로 인한 전방위적 데이터 노출 사고 발생

인도의 선도적인 약국 체인 중 하나인 DavaIndia(Zota Healthcare 산하)가 관리 시스템에 대한 전체 제어 권한을 외부인에게 노출하는 심각한 보안 결함이 발견되었습니다. 이번 사고는 단순한 데이터 유출을 넘어, 플랫폼의 핵심 관리 기능을 탈취할 수 있는 구조적 취약점에서 기인했습니다.

취약점 핵심: 인증되지 않은 사용자가 '슈퍼 어드민(Super Admin)' 계정을 생성할 수 있는 보안되지 않은 API 인터페이스

1. 보안 사고의 개요와 파급 효과
보안 연구원 Eaton Zveare에 따르면, DavaIndia 웹사이트의 관리자 API가 인증 없이 노출되어 있었으며, 이를 통해 높은 권한을 가진 계정을 임의로 생성할 수 있었습니다. 이로 인해 약 17,000건의 온라인 주문 데이터와 883개 매장의 관리 제어권이 위험에 처했습니다. 유출된 정보에는 고객의 이름, 전화번호, 이메일, 주소뿐만 아니라 구매한 의약품 정보가 포함되었습니다.

2. 비즈니스 로직 및 환자 안전 위협
단순 정보 유출보다 더 심각한 것은 시스템의 비즈니스 로직(Business Logic)에 대한 수정 권한이 노출되었다는 점입니다. 공격자는 제품 가격을 조작하거나, 할인 쿠폰을 생성하고, 무엇보다 특정 의약품의 처방전 필요 여부 설정을 변경할 수 있었습니다. 이는 공중 보건 및 환자의 안전과 직결되는 중대한 보안 사고입니다.

3. 대응 경과
해당 취약점은 2024년 말부터 노출된 것으로 추정되며, 연구원은 2025년 8월 인도 국가사이버위기대응팀(CERT-In)에 이를 보고했습니다. 현재 해당 버그는 패치되었으나, 대규모 확장을 진행 중인 Zota Healthcare의 인프라 보안 관리 수준에 대한 비판은 피하기 어려워 보입니다.

---

아키텍트의 분석: API 보안과 Zero Trust의 부재

이번 사고는 현대적인 웹 아키텍처에서 흔히 발생하는 'Broken Access Control(인가 실패)'의 전형적인 사례입니다. 시니어 아키텍트의 관점에서 본 기술적 통찰은 다음과 같습니다.

• API Gateway 및 WAF의 부재: 관리자 전용 API가 인터넷에 직접 노출되었다는 것은 API Gateway 수준에서의 IP 화이트리스팅이나, WAF(Web Application Firewall)를 통한 비정상적인 요청 차단이 이루어지지 않았음을 의미합니다. 특히 'Admin Creation'과 같은 민감한 Endpoint는 내부 네트워크(Intranet) 혹은 강력한 인증 계층 뒤에 숨겨야 합니다.
• Insecure Direct Object References (IDOR) 이상의 위험: 이번 사례는 단순한 객체 참조 오류를 넘어, 인증 메커니즘 자체가 누락된 Unauthenticated Administrative Interface 문제입니다. 이는 보안 설계 단계(Security by Design)에서 최소 권한 원칙(Principle of Least Privilege)이 전혀 고려되지 않았음을 보여줍니다.
• 데이터 민감도에 따른 계층화 실패: 처방전 데이터와 같은 의료 정보는 PII(개인식별정보) 중에서도 민감도가 가장 높습니다. 이러한 데이터에 접근하는 API는 다요소 인증(MFA)이 필수적이며, 모든 관리자 활동에 대한 Audit Log가 실시간으로 SIEM(보안 정보 및 이벤트 관리) 시스템에 전송되어야 합니다.
• 결론: Cloud 환경에서 비즈니스를 급격히 확장할 때는 기능적 확장성(Scalability)만큼이나 보안 가시성(Visibility) 확보가 중요합니다. Infrastructure as Code(IaC) 스캔과 정기적인 Penetration Testing을 통해 이러한 'Low-hanging fruit' 취약점이 운영 환경에 배포되는 것을 원천 차단해야 합니다.

---

원문 출처: Indian pharmacy chain giant exposed customer data and internal systems