세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
3연속 정보 노출, 스탠포드대학 망신살 뻗쳐
  |  입력 : 2017-12-04 14:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
경영대학원 서버, 캠퍼스 간 AFS 플랫폼에서 민감한 정보 유출
대학교들 사이 정보보안 무시되고 있는 현상 심각한 수준


[보안뉴스 문가용 기자] 미국의 스탠포드대학 경영대학원에서 서버를 잘못 설정하는 바람에 1만 명의 교직원 및 학생들의 이름, 생년월일, 연봉(교직원), 사회보장번호가 장기간 노출되는 일이 뒤늦게 밝혀졌다. 노출된 데이터는 2008~2015년 사이에 경영대학원에 등록 및 저장된 정보들이며, 2017년 3월 3일 학교 측에서 조치를 취하기 전까지 약 6개월 간 방치되어 있었다고 한다.

[이미지 = iclickart]


대학 측에 의하면 2016년 6월부터 민감한 정보가 저장되어 있는 파일들이 실수로 공유 서버로 넘어갔고, 같은 서버에 있던 다른 파일들마저 노출되기 시작한 건 2016년 9월부터다. 경영대학원의 IT팀이 이 같은 사실을 알아챈 건 2017년 2월이지만 학장에게 보고하지는 않았다고 한다. 대변인에 의하면 당시 IT 팀도 얼마나 많은 파일들이 노출되어 있는지 전부 파악한 건 아니라고 한다.

이와 별개로 스탠포드대학의 각 캠퍼스를 이어주는 파일 공유 플랫폼인 AFS에서도 민감한 정보가 유출되고 있다는 사실이 드러나기도 했다. 특히 2005~2012년 사이 학생들의 개인정보 및 징계와 관련된 기록들이 대량으로 공개되어 있었다. 이 사실을 학교 측에서 파악한 건 11월 9일의 일이다.

이게 끝이 아니다. 올해 초 스탠포드 경영대학원은 민감한 재정 관련 정보들이 유출됐다고 상부에 보고한 적도 있다. 당시도 중요 파일들이 공유된 서버에 올라가 있는 상태였고, 해당 파일은 2016년 6월부터 그렇게 공개된 채 방치되어 있었다. 이 역시 3월에 정정됐다. 세 건 모두 단순 서버 및 공유 옵션의 설정 오류로 인한 것들이었다.

꽤나 명망 높은 대학에서 길지 않은 시간에 서버 설정 오류 및 공유 오류로 인해 민감한 정보가 세 번이나 연달아 유출됐다는 것에 보안 커뮤니티와 프라이버시 단체들이 많은 비판을 쏟아내고 있다. 인피니트글로벌(Infinite Global)의 회장인 자크 올센(Zach Olsen)은 “스탠포드 대학에서 일어났던 일이 지금 이 시간에서도 수많은 기관과 단체에서 벌어지고 있다”며 “인간적인 실수나 절차상 오류라고 그냥 넘어가서는 안 된다”고 말한다.

“너무 사소한 실수들이 ‘당연하게’ 일어나고 있고, 그걸 또 ‘아무렇지 않게’ 용서하고 있지만, 그 틈으로 치명적인 피해들이 발생합니다. 허허 웃고 넘어갈 게 아니라, 시말서 몇 장 쓰고 말 게 아니라 좀 더 확실한 대응을 해야 합니다. 또한 실수를 막을 수 있는 시스템적인 대책도 강구되어야 하고요. 해커의 공격은커녕 우리 스스로 내주는 정보들이 너무 많아요.”

올센은 특히 대학 기관들이 이러한 보안 상의 절차를 많이 무시하는 경향이 있다고 말한다. “정보와 자료 그 자체를 만들어내고 유통하는 게 대학 아닌가요. 그렇다면 그 자산과 같은 정보와 자료를 보호할 방법을 만들어야 하겠지요. 정보를 함부로 대하는 기관에서 지식과 정보를 생성한다면 누가 신뢰할 수 있겠습니까?”

또한 올센은 직원들을 대상으로 한 보안 교육 및 훈련이 제일 중요하다고 말한다. IT와 관련된 직원들이나 서버실 관리자들뿐만 아니라 인터넷이나 내부 인트라넷을 업무에 사용하는 모든 사람들이 그 대상이 되어야 한다. “캠퍼스 내에서 중요한 공유 플랫폼을 같이 사용하는 학생들에게도 공유 관련 정책을 분명히 전달하고 교육의 기회를 제공해야 합니다. 악랄하고 천재적인 해커들이 아니라, 우리 자신이 우리 뒤통수를 때리는 일이 더 많다는 것도 알려야 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#미국   #스탠포드   #대학교   #정보   #서버   #설정   #공유   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)