세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
잇따른 클라우드 환경 설정 미숙으로 인한 대기업 정보 유출
  |  입력 : 2017-09-25 15:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마존 S3 버킷 환경설정 그렇게 어렵나...버라이즌, 바이어컴 연달아 ‘미쓰’
기밀과 크리덴셜 정보 다량 노출돼...“클라우드 이행기가 마치 환절기 같아”


[이미지 = iclickart]

[보안뉴스 문가용 기자] 아마존 S3 버킷에서의 중요 정보 유출이 자꾸만 발생하고 있다. IT 기술에 대해 잘 모르는 기업이나 기관이라면 너그럽게 생각할 수도 있겠는데, 실상은 그렇지도 않다. 가장 최근엔 버라이즌(Verizon)이라는 미국 최대 통신업체에서도 그러한 일이 발생했으니 말이다.

보안 업체인 크롬텍 시큐리티(Kromtech Security)의 연구원들은 최근 버라이즌과 관련된 기밀 파일들을 S3 버킷에서 발견했다. 크롬텍 측은 이를 버라이즌 측에 비밀리에 알렸고, 버라이즌은 곧바로 조치를 취해, 현재 이 S3 버킷은 닫혀있는 상태다.

“불행 중 다행으로 해당 S3 버킷은 버라이즌이 공식으로 소유한 게 아니라, 버라이즌 소속 엔지니어가 개인적으로 가지고 있던 것이었습니다. 버라이즌이 회사 차원에서 관리하던 클라우드는 아니라는 것이죠. 그렇다 한들 해당 개인이 버라이즌의 기밀을 다량으로 취급할 정도의 직원이라는 건 변함이 없지만요.” 크롬텍 측의 설명이다.

또한 노출된 데이터 안에 고객 정보는 포함되어 있지 않은 것으로도 나타났다. “하지만 ‘버라이즌 기밀’ 혹은 ‘사내 기밀’이라는 표시가 붙은 파일만 약 100MB 정도가 있었습니다. 이 파일들을 분석해보니 각종 사용자 이름과 비밀번호 정보가 들어 있더군요. 이 정보를 누군가 가져갔다면 버라이즌의 내부 네트워크에 접속할 수 있을 것으로 보입니다. 또한 이 기밀들은 사용자의 빌링(billing)과 관련된 데이터이기도 했습니다.”

해당 S3 버킷에는 또다른 폴더가 있었다. 거기에는 129개의 아웃룩 이메일 메시지들이 저장되어 있었다. 서버의 세부 사항에 관한 정보와 크리덴셜 역시 여기에 포함되어 있었다. “이런 식으로 데이터들이 자꾸만 노출되기 시작하면 지금 당장 영향 받지 않더라도 네티즌 개개인들이 평균적으로 위험에 더 많이 노출되게 됩니다. 지금 이 계정이 공식 버라이즌 계정이 아니었다고 하고, 고객 정보는 노출되지 않았다고 해서 면피될 성질의 사건이 아니라고 생각합니다. 고치고 시정할 것이 이 계정 하나가 아니라는 걸 직시해야 합니다.”

버라이즌 측은 아직 이번 사건에 대해 공식 발표를 하고 있지는 않다.

한편 크롬텍이 버라이즌와 관련 있는 S3 버킷의 상태를 파악하기 4일 전에 또 다른 보안 업체인 업가드(UpGuard)에서 대형 엔터테인먼트 업체인 바이어컴(Viacom)의 데이터가 S3 버킷의 잘못된 환경설정으로 노출된 사실 역시 밝힌 바 있다. 바이어컴은 유명한 영화사인 파라마운트 픽처스(Paramount Pictures)를 소유한 회사로, 해당 S3 버킷에서는 72개의 .tgz 파일들과 몇 개의 압축파일들이 발견됐다. 여기에는 바이어컴 서버, 스토리지, 데이터베이스로의 로그인 크리덴셜 정보도 포함되어 있었다.

바이어컴도 해당 소식을 전달받고 곧바로 계정 설정을 고쳐서 현재는 데이터가 노출되어 있지 않은 상태다. 하지만 업가드는 “대기업이고 작은 기업이고 클라우드 관리 문제에 있어서는 다 똑같이 미숙하다는 것이 심각한 문제”라며 “환절기 때 감기에 잘 걸리는 것처럼, 클라우드로의 이행기인 지금 보안이라는 면역 체계가 시험대에 오르고 있다”고 분석했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)