세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
잇따른 클라우드 환경 설정 미숙으로 인한 대기업 정보 유출
  |  입력 : 2017-09-25 15:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마존 S3 버킷 환경설정 그렇게 어렵나...버라이즌, 바이어컴 연달아 ‘미쓰’
기밀과 크리덴셜 정보 다량 노출돼...“클라우드 이행기가 마치 환절기 같아”


[이미지 = iclickart]

[보안뉴스 문가용 기자] 아마존 S3 버킷에서의 중요 정보 유출이 자꾸만 발생하고 있다. IT 기술에 대해 잘 모르는 기업이나 기관이라면 너그럽게 생각할 수도 있겠는데, 실상은 그렇지도 않다. 가장 최근엔 버라이즌(Verizon)이라는 미국 최대 통신업체에서도 그러한 일이 발생했으니 말이다.

보안 업체인 크롬텍 시큐리티(Kromtech Security)의 연구원들은 최근 버라이즌과 관련된 기밀 파일들을 S3 버킷에서 발견했다. 크롬텍 측은 이를 버라이즌 측에 비밀리에 알렸고, 버라이즌은 곧바로 조치를 취해, 현재 이 S3 버킷은 닫혀있는 상태다.

“불행 중 다행으로 해당 S3 버킷은 버라이즌이 공식으로 소유한 게 아니라, 버라이즌 소속 엔지니어가 개인적으로 가지고 있던 것이었습니다. 버라이즌이 회사 차원에서 관리하던 클라우드는 아니라는 것이죠. 그렇다 한들 해당 개인이 버라이즌의 기밀을 다량으로 취급할 정도의 직원이라는 건 변함이 없지만요.” 크롬텍 측의 설명이다.

또한 노출된 데이터 안에 고객 정보는 포함되어 있지 않은 것으로도 나타났다. “하지만 ‘버라이즌 기밀’ 혹은 ‘사내 기밀’이라는 표시가 붙은 파일만 약 100MB 정도가 있었습니다. 이 파일들을 분석해보니 각종 사용자 이름과 비밀번호 정보가 들어 있더군요. 이 정보를 누군가 가져갔다면 버라이즌의 내부 네트워크에 접속할 수 있을 것으로 보입니다. 또한 이 기밀들은 사용자의 빌링(billing)과 관련된 데이터이기도 했습니다.”

해당 S3 버킷에는 또다른 폴더가 있었다. 거기에는 129개의 아웃룩 이메일 메시지들이 저장되어 있었다. 서버의 세부 사항에 관한 정보와 크리덴셜 역시 여기에 포함되어 있었다. “이런 식으로 데이터들이 자꾸만 노출되기 시작하면 지금 당장 영향 받지 않더라도 네티즌 개개인들이 평균적으로 위험에 더 많이 노출되게 됩니다. 지금 이 계정이 공식 버라이즌 계정이 아니었다고 하고, 고객 정보는 노출되지 않았다고 해서 면피될 성질의 사건이 아니라고 생각합니다. 고치고 시정할 것이 이 계정 하나가 아니라는 걸 직시해야 합니다.”

버라이즌 측은 아직 이번 사건에 대해 공식 발표를 하고 있지는 않다.

한편 크롬텍이 버라이즌와 관련 있는 S3 버킷의 상태를 파악하기 4일 전에 또 다른 보안 업체인 업가드(UpGuard)에서 대형 엔터테인먼트 업체인 바이어컴(Viacom)의 데이터가 S3 버킷의 잘못된 환경설정으로 노출된 사실 역시 밝힌 바 있다. 바이어컴은 유명한 영화사인 파라마운트 픽처스(Paramount Pictures)를 소유한 회사로, 해당 S3 버킷에서는 72개의 .tgz 파일들과 몇 개의 압축파일들이 발견됐다. 여기에는 바이어컴 서버, 스토리지, 데이터베이스로의 로그인 크리덴셜 정보도 포함되어 있었다.

바이어컴도 해당 소식을 전달받고 곧바로 계정 설정을 고쳐서 현재는 데이터가 노출되어 있지 않은 상태다. 하지만 업가드는 “대기업이고 작은 기업이고 클라우드 관리 문제에 있어서는 다 똑같이 미숙하다는 것이 심각한 문제”라며 “환절기 때 감기에 잘 걸리는 것처럼, 클라우드로의 이행기인 지금 보안이라는 면역 체계가 시험대에 오르고 있다”고 분석했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)