아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출

클라우드 사용자들의 실수가 연달아 발생하고 있다. 그러면서 공격자들에게 너무나 유용한 정보들이 쓸데 없이 손쉽게 그들의 손으로 넘어가고 있다. 클라우드 업체와 사용자들이 근본적인 부분에서 손을 써야 한다.

[보안뉴스 문가용 기자] 아마존의 클라우드 기반 데이터 백업 기능을 잘못 활용한 사용자들이, 자신도 모르게 개인정보를 인터넷에 노출시키고 있다는 사실이 발견됐다. 수많은 개인을 특정할 수 있을 만한 정보들이 줄줄 새고 있으며, 공격자들이 이를 가져갔을 경우 각종 협박과 사기, 랜섬웨어 공격 등을 실시할 수 있게 된다고 보안 전문가들이 경고했다.

[이미지 = utoimage]

문제가 발견된 건 인기 높은 ‘서비스형 플랫폼(Platform-as-a-Service)’인 아마존 RDS였다. 아마존 RDS는 MySQL, PostgreSQL 등과 같은 여러 가지 엔진들을 기반으로 한 데이터베이스를 제공하는 서비스다. 이 서비스에는 RDS 스냅샷(RDS Snapshot)이라는 기능이 있다. 데이터베이스 인스턴스의 스토리지 볼륨 스냅샷을 남기는 기능으로, 사용자들은 이 기능을 통해 전체 공개 데이터나 템플릿 데이터베이스를 애플리케이션으로 전송해 공유할 수 있게 된다.

보안 업체 미티가(Mitiga)에 의하면 적지 않은 RDS 스냅샷들에서 개인 식별 정보가 발견되고 있으며, 그런 상태에서 ‘전체 공개’로 설정되어 있는 사례가 꽤나 많다고 한다. “저희는 한 달 동안 이 현상을 관찰하며 2783개의 RDS 스냅샷들을 발견했고, 이 중 810개가 한 달 내내 전체 공개로 설정되어 있었습니다. 1~2일 정도 전체 공개로 설정되어 있던 스냅샷들도 1859개 정도 되었습니다. 1~2일이 한 달이라는 기간과 비교하면 짧은 게 맞지만 공격자들에게는 유용한 정보를 거둬가기에 충분한 기간입니다.”

스냅샷은 공유가 매우 간단하다. 애초에 역할이나 권한과 상관없이 편리하게 데이터를 주고 받는 데에 초점이 맞춰진 기능이기 때문이다. 그렇기 때문에 누군가 이 스냅샷에 접근하게 되면 피해가 불필요하게 증폭될 수도 있다. “여러 아마존 계정들과 스냅샷을 편리하게 공유할 수 있습니다. 그렇기 때문에 실수나 부주의로 민감한 정보를 여러 사람에게 나눠주는 일이 벌어지기 쉽습니다. 사용자의 공유 실수나 설정 오류는 아무리 보안이 철저하게 설정된 망 안에 있게 되더라도 막기 힘든 일입니다.”

클라우드 설정 오류와 사용자들의 실수
이번 발견은 클라우드 생태계의 가장 취약한 부분이 사람임을 다시 한 번 드러낸다고 미티가의 연구원인 아리엘 자르프(Ariel Szarf), 도론 카르미(Doron Karmi), 리오넬 사포스닉(Lionel Saposnik)은 지적한다. “공격자들은 늘 데이터를 찾기 위해 인터넷 공간을 떠돌아 다닙니다. 대부분 그런 정보들로 돈을 벌기 위함이죠. 그런 공격자들이 가장 많이 두드리는 곳은 세상의 모든 정보들이 모여드는 클라우드입니다. 특히 클라우드의 데이터 공유 기능들을 자주 들여다보죠. 왜냐하면 반드시 누군가는 데이터를 전체 공개로 설정해서 공유하거든요. 실수든 오류든 잘 몰라서든 말입니다.”

미티가의 연구원들은 설정 오류 때문에 노출되어 있는 DB나 인스턴스들을 찾기 위해 독자적인 검색 기술을 만들어 활용했다고 한다. AWS 환경에서만 통하는 방법이었다고 한다. “그런데 해커들도 저희랑 똑같은 기술력을 가지고 있습니다. 저희가 만드는 도구들은 그들도 만들 수 있죠. 전체 공개된 스냅샷을 찾는 것은 그들에게 간단한 일입니다. 설정 실수 한 번, 그것이 단 하루나 이틀 정도만 유지되었다 하더라도 치명적일 수 있는 이유입니다.”

이번 조사를 통해 미티가의 연구원들은 일부 스냅샷의 내부 데이터에까지 접근할 수 있었다고 한다. “한 자동차 렌탈 업체는 한 달 내내 MySQL 데이터베이스를 노출시키고 있었습니다. 충분한 시간을 가지고 접근해 데이터를 확인할 수 있었습니다. 자동차 거래 현황, 고객들의 개인 식별 정보, 사업상의 기밀이나 민감 정보 등이 전부 저장되어 있었습니다.”

반대로 한 데이팅 애플리케이션 운영사는 단 4시간 동안 스냅샷을 전체 공개로 설정해 두었다. 그럼에도 미티가 측은 스냅샷 내부에서 약 2200명 사용자의 이메일 주소, 비밀번호 해시, 생년월일, 개인 사진, 비공개 메시지 등에 접근하는 데 성공했다고 한다. “단 네 시간이라도 정보를 열람하고 가져가는 데 충분합니다.”

개인 식별 정보가 없더라도 문제
당연하지만 이번에 노출된 RDS 중 개인 식별 정보가 없는 것들도 있었다. 그러나 그렇다고 해서 스냅샷이 인터넷에 전체 공개인 상태로 노출되는 게 바람직한 건 아니라고 미티가 측은 강조했다. “공격자들은 조각난 정보들을 꿰어 맞추는 데 전문가들입니다. 개인 식별 정보가 없더라도 노출된 스냅샷의 정보들을 가지고 추가로 조사를 하여 데이터베이스가 누구 소유이며, 어떤 개인들이 근무하고 있는지 알아내고 특정할 수 있습니다. 시간이 좀 더 들긴 하겠지만 개인 특정이란 게 식별 정보 없이도 가능하긴 하다는 겁니다.”

미티가의 연구원들도 조사를 진행하면서 스냅샷들이 어떤 계정에 의해 관리를 받고 있는지 어렵지 않게 알아낼 수 있었다고 한다. 그리고 그 정보를 통해 회사 이름까지도 충분히 파악할 수 있었다. 또한 모든 스냅샷의 메타데이터에는 MasterUsername이라는 필드가 포함되어 있기도 했다. 데이터베이스 사용자 이름이 들어가는 곳이었다. 주로 데이터베이스의 관리자나 회사 이름이 기입되어 있다고 미티가는 밝혔다. “진짜로 데이터베이스의 주인을 알아내는 건 대부분의 경우 간단한 일이며, 그렇기에 추적이 가능한 겁니다.” 관리자나 회사의 이름을 알아낸 후 링크드인에 잠깐 검색만 해도 실제 인물을 확인할 수 있었다고 한다.

위험의 완화
이번 RDS 스냅샷 사태의 또 다른 문제는 많은 기업들이 아마존 RDS 서비스를 사용하긴 하지만, 자신들의 스냅샷이 전체 공개 되어 있다는 사실은 상상도 하지 못한다는 것이다. 그런 부분에서 문제가 있을 거라고는 의심조차 하지 못하기 때문에 점검하지도 않고, 점검하지 않으니 문제가 해결되지 않은 채로 유지되는 것이라고 미티가는 강조한다.

“그러니 사실 아마존 측이 해당되는 고객사에 연락을 빨리 취하는 게 중요합니다. 그리고 고객사들은 연락을 받고 마찬가지로 빨리 움직여야 하고요. 당분간 클라우드 서비스 업체와 고객들 간에는 이런 식의 비상 연락을 주고 받는 부분이 좀 더 활성화될 필요가 있어 보입니다. 아예 구멍 자체를 완전히 없앨 수는 없으니까요.”

또한 미티가는 “클라우드트레일(CloudTrail)이라는 로그를 점검해 어떤 스냅샷이 언제 누구에 의해 전체 공개로 전환되었는지 확인할 필요도 있다”고 귀띔한다. 그래야 추가 공격 가능성을 어느 정도 가늠할 수 있기 때문이다.

“아예 처음부터 RDS 스냅샷이 전체 공개로 전환되는 일을 막으려면 그러한 전환의 권한을 소수의 관리자들에게만 부여해야 합니다. 그리고 그 권한이 해당 관리자들 사이에서만 엄격하게 공유되도록 해야 하고요. 이렇게만 해도 실수나 부주의의 확률이 크게 떨어집니다. 스냅샷 전체를 암호화 하는 것도 좋은 방법입니다. 그럴 경우 공격자들이 스냅샷을 복제해 가더라도 사용할 수 없게 되거든요.”

이런 유형의 사고에서 가장 답답한 건 DB가 전체 공개로 유지된 시간과, 그 기간 동안 발생한 다운로드 시도 회수에 대해 알 방법이 현재로서는 존재하지 않는다는 것이다. 이 때문에 잠재적 위험이 얼마나 되는지 가늠하기 힘들고, 보안 전략이 모호해질 수밖에 없다고 미티가 측은 지적했다.

3줄 요약
1. 아마존 클라우드 생태계의 백업 기능 통해 수많은 개인정보가 유출되고 있음.
2. 백업된 인스턴스를 전체 공개로 만들어 둔 실수/부주의/오류 때문.
3. 요즘 해커들은 이렇게 ‘실수로’ 노출된 정보를 금방 파악해 데이터를 가져감.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)