Home > 전체기사
클라우드 서드파티의 실수로 유출 사고 겪은 혼다와 유니버설
  |  입력 : 2018-06-01 16:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인도 혼다 앱 사용자 5만명 정보 유출...온갖 표적 공격 및 사기 가능
유니버설의 클라우드 파트너, 설정 오류로 사실상 모든 정보 유출


[보안뉴스 문가용 기자] 인도의 혼다자동차(Honda Car India)와 유니버설 뮤직 그룹(Universal Group)에서 ‘실수’로 인한 민감 정보 유출 사고가 발생했다. 인도 혼다자동차의 경우는 아마존의 AWS 3 버킷을 인터넷에 노출시키는 바람에 약 5만 명의 개인정보가 새나갔고, 유니버설 뮤직 그룹은 클라우드 업체의 실수로 각종 크리덴셜을 잃었다.

[이미지 = iclickart]


인도 혼다자동차의 경우 보안 업체 크롬텍 시큐리티 센터(Kromtech Security Center)가 아마존 계정이 열려 있는 것을 발견했고, 해당 버킷에 이름, 전화번호, 성별, 비밀번호, 이메일 주소 등이 저장되어 있는 것을 확인할 수 있었다고 한다. 혼다 코넥트 앱(Honda Connect App)을 사용하는 고객 약 5만 명의 것이었다.

크롬텍은 “노출되어 있던 정보만을 가지고도 자동차의 위치, 출발지와 행선지, 주요 운전 경로, 운전 습관을 포함한 행위를 파악하는 게 가능하게 된다”고 설명한다. 뿐만 아니라 앱을 통해 전화기에 저장된 모든 정보에도 접근할 수 있다고 말한다.

크롬텍의 연구원들은 블로그를 통해 “이러한 정보를 축적하고 맥락과 연결하다보면 사용자의 행동 반경과 매일의 활동 사항들을 알아내는 게 가능해진다”며 “사는 곳, 일자리, 주요 쇼핑 및 여가 장소 등을 따라다니며 스토킹하는 것과 동일한 효과를 갖는다”고 설명하고 있다. 또한 표적화된 스피어피싱 공격 역시 생각해봄직한 공격 시나리오라고 짚는다.

또 다른 보안 업체 사이버GRX(CyberGRX)의 CEO 프레드 네이프(Fred Kneip)는 “이건 자꾸만 반복되고 있는 서드파티 관리 부실로 인한 보안 사고의 연장선”이라고 설명한다. “현재 기업의 디지털 생태계에서 가장 취약한 건 서드파티라고 봐도 무방합니다. 또한 서드파티를 탓하는 게 아니라, 그러한 업체와 계약을 맺은 업체의 잘못으로 굳어지고 있죠. 지금도 결국 혼다의 잘못으로 소비자들은 인식하고 있습니다.”

유니버설 뮤직 그룹의 사건 역시 이와 비슷하다. 유니버설 뮤직 그룹의 클라우드 파트너사인 아길리시움(Agilisium)의 아파치 에어플로우(Apache Airflow) 서버의 설정 오류로 FTP 크리덴셜과 SQL 비밀번호, AWS 비밀 액세스 키, 비밀번호 정보가 다량으로 유출된 것이다.

이 역시 크롬텍 시큐리티 센터가 발견한 것으로, 크롬텍은 블로그를 통해 “에어플로우는 디폴트 상 활짝 열려 있는 서버”라며 “에어플로우를 사용하고자 한다면 반드시 보안 조치를 취해야 한다”고 언급했다. “디폴트로는 안전하지가 않아요. 유니버설이나 아길리시움의 누군가가 이 사실을 간과한 듯 합니다. 그 때문에 사실상 유니버설 뮤직의 거의 모든 디지털 자산이 노툴된 것과 다름없는 일이 벌어진 것이죠.”

사이버GRX의 수석 제품 관리자인 브라이언 게일(Bryan Gale)은 “보안 사고를 유발하는 실수는 정말 사소한데, 그 결과와 피해는 너무 크다”고 말한다. “즉 보안을 위해 하는 일이 아무리 작아 보여도 절대 사소한 것이 아니라는 뜻입니다. 비밀번호를 걸어두는 것, 디폴트 설정을 손보는 것 등 한 사람이 충분히 해낼 수 있는 일을 하지 않으면 회사 전체가 노출될 수 있습니다.”

게일은 앞으로도 이런 사건이 꾸준히 일어날 것이라고 예상한다. “소비자들은 ‘관리 못한 기업’에 책임을 묻는데, 기업들은 아직도 ‘서드파티 잘못은 서드파티 잘못’이라고 생각하고 있습니다. 실제 신뢰를 잃는 건 자기인데 말이죠. 이러한 생각이 뿌리째 바뀌지 않는 이상 클라우드 설정 오류로 인한 기업의 피해는 계속될 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제