Home > 전체기사
아마존 링의 연구 팀, 소비자 영상에 무제한 접근했다
  |  입력 : 2019-01-15 11:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스마트홈 장비 제조사인 링, 소비자 영상 암호화하지 않은 채 저장
직원들, 자기들끼리 소비자들의 민감한 프라이버시 관련 내용 이야기하기도


[보안뉴스 문가용 기자] 아마존이 출시한 스마트홈 장비인 링(Ring)에서 생성되고 저장된 라이브 영상 피드를 일부 아마존 임직원이 무제한으로 접근할 수 있었다는 보도가 나왔다. 세계 곳곳에 설치된 링의 모든 카메라에서 들어오는 모든 영상이 저장되고 있는 아마존 S3 계정에, 해당 업무와 상관이 없는 직원들까지도 접근이 가능하다는 것이다. 인터셉트(Intercept)가 익명의 제보자로부터 정보를 제공받아 보도한 내용이다.

[이미지 = iclickart]


뿐만 아니라 이러한 권한이 허용된 직원들에게는 각 영상 자료와 링 사용자들을 연결시켜주는 데이터베이스에 대한 접근 권한도 주어졌다. 제보자에 의하면 이 데이터베이스 내 영상 자료들은 암호화가 되지도 않은 상태였다. 왜냐하면 “링의 경영진이 암호화를 통해 접근을 제한하면 수익 창출의 기회가 줄어든다고 생각했기 때문”이라고 한다.

이런 무제한 접근 권한이 주어진 팀 중에 우크라이나의 연구 개발 팀이 있다고 한다. 원래 링은 아마존이 작년에 인수한 업체로, 우크라이나에 연구실을 두고 있다. 인터셉트는 제보자의 말을 인용해 우크라이나 팀에 데이터베이스 및 영상 자료 접근 권한이 주어진 건 아마존의 인하우스 안면 및 객체 인식 소프트웨어의 약점과 관련된 사안이라고 보도했다. 동물과 사람의 구분이 어려워 잘못된 경보를 고객들에게 내보낸 적이 종종 있다고도 덧붙였다. 우크라이나에 있는 연구 개발 팀은 이 부분을 개선코자 영상 피드를 활용하고 있었던 것으로 보인다.

물론 이러한 과잉 권한을 남용한 사례는 아직까지 발견된 적이 없다고 제보자는 말했다. 하지만 직원들 간 대화 중에 자신들이 본 영상의 내용이 종종 주제로 올라왔다고 한다. 특히 키스를 나눈다거나, 총을 쏜다거나, 물건을 훔친다는 등의 자극적이고 민감할 수 있는 내용은 자주 이야깃거리가 되곤 했다고 인터셉트는 보도했다.

아마존은 링을 인수한 이후 직원들이 민감한 고객 정보에 함부로 접근하지 못하도록 여러 보안 장치를 추가했다고 알려져 있다. 그러나 이 장치를 우회하는 방법은 직원들 내에서 잘 알려져 있다고 제보자는 인터셉트에 고발했다. 심지어 우크라이나 개발팀에 소속된 사람이라면 아무 컴퓨터를 통해서 해당 데이터에 접근할 수 있었다고 한다. 집이든 사무실이든 상관이 없었다.

하지만 링 측은 이런 보도에 대해 강력하게 부인했다. “링의 장비를 통해 녹화되고 저장된 영상 피드에 직원들의 접근은 불가한 상태입니다. 아마존 링은 고객들의 보안과 프라이버시 보호를 가장 중요한 가치로 인지하고 있으며, 일부 직원들이 사용하는 영상 피드는 서비스 품질 향상을 위한 것일 뿐입니다.”

그러면서 링은 “연구를 위해 사용하는 영상 피드들도 네이버스(Neighbors)라는 앱을 통해 공개된 것들 뿐”이라고 주장했다. 또한 “이 영상의 주인들은 링 전체 사용자들의 극히 일부분에 불과하다”고 말하기도 했다. “고객의 동의도 있었습니다. 그 외 링의 직원들은 그 어떤 라이브 스트림에도 접근할 수 없도록 되어 있습니다. 팀 멤버들 모두에게 적용되는 강력한 내부 규정도 있고, 윤리 수준도 높은 편입니다.”

기업용 하이브리드 클라우드 보안 업체인 옵시디안 시큐리(Obsidian Securi)의 연구 책임자인 로라 노렌(Laura Noren)은 보안 외신인 SC미디어를 통해 “사람 직원이 영상에 라벨링 작업을 하는 건 굉장히 흔한 일이지만, 회사는 소비자들에게 인공지능이 하는 것처럼 말한다”고 주장했다. 그러면서 “인공지능은 인간이 라벨을 붙인 영상 데이터를 가지고 훈련합니다. 그런데 그런 인공지능이 어떻게 라벨링 작업을 대신 할 수 있겠습니까?”

그러면서 노렌은 “링 측이 소비자의 동의를 얻었다고 하는데, 소비자들이 정말 이러한 상황을 다 정확히 이해한 건지 의문”이라고 덧붙이기도 했다. “또한 영상 자료를 암호화시키지 않고 저장했다는 것과, 그 모든 자료를 한 개의 S3 버킷에 저장하고 있었다는 것도 납득하기 어려운 상황입니다. 링의 전체적인 보안 문화가 그리 높은 수준에 있지 않다는 걸 나타내는 부분인데요, 그런데 직원들이 정책을 엄격하게 잘 따랐으며 윤리 수준이 높다는 주장은 쉽게 받아들여지지 않습니다.”

3줄 요약
1. 아마존이 인수한 스마트홈 업체인 링. 여기 우크라이나 개발진들은 소비자 영상에 무제한으로 접근 가능했다.
2. 링 측은 “그런 일 없다”고 강력하게 부인하고 있지만...
3. 영상에 암호화도 적용하지 않고, 한 계정에 몰아 저장하는 등 평소 보안 인식 낮아 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)