미 RNC 대행해 투표자 정보 수집·분석한 업체, AWS에 정보 노출
부즈 앨런 해밀턴이 6만 여건 정보 노출한 이래 재발생해 우려 커져
[보안뉴스 오다인 기자] 미국에서 수백만 명의 투표자 기록이 유출되는 사건이 발생했다. 유출된 투표자 기록에는 일반 개인정보뿐만 아니라 종교와 인종별로 재구성된 정보도 포함됐던 것으로 알려졌다. 보안 전문업체 업가드(UpGuard)는 딥루트애널리틱스(Deep Root Analytics)의 보호되지 않은 공공 스토리지 클라우드 계정에서 이 같은 유출 사실을 발견해 통보했다.
유출된 정보에는 투표자의 생년월일, 집 주소 및 우편배달 주소, 전화번호, 당파성, 인종 정보, “재구성된(modeled)” 투표자 프로필 등이 포함됐다. 이런 모든 정보는 딥루트애널리틱스가 소유한 아마존 웹 서비스의 S3 버킷 스토리지 계정에서 비밀번호를 입력하지 않고도 접근할 수 있었다고 업가드는 지적했다. 딥루트애널리틱스는 미국 공화당 전국위원회(RNC: Republican National Committee)를 대행해 이 같은 정보를 수집 및 분석해왔다.
[이미지=iclickart]
투표자 정보 유출을 최초로 발견한 업가드의 사이버 위험 분석가 크리스 비커리(Chris Vickery)는 딥루트애널리틱스가 S3 스토리지의 버킷 파일을 ‘전용(private)’으로 설정하는 대신 ‘공용(public)’으로 접근권한을 설정하는 바람에 이 같은 유출이 발생했다고 밝혔다. 투표자 정보 파일은 공개적으로 볼 수 있었던 데다 해당 파일의 대부분은 다운로드까지 허용돼 있었다고 비커리는 말했다.
“궁극적으로 딥루트애널리틱스의 잘못은 외부와 접촉하는 자사 시스템에 대해 어떠한 감시도 하고 있지 않았다는 점입니다.” 비커리는 만약 딥루트애널리틱스가 제대로 감시 시스템을 가동하고 있었다면, 해당 파일들이 부적절하게 공개돼있었다는 점을 일찍이 발견했을 것이라고 지적했다.
미국의 ‘더힐(The Hill)’지에 따르면, 딥루트애널리틱스는 투표자 정보 유출을 인지한 뒤 “이런 상황에 대해 전적으로 책임을 지겠다”고 밝혔다. 딥루트애널리틱스는 더힐과의 인터뷰에서 투표자 정보가 지난 6월 1일부터 노출돼있었다고 밝혔지만, 비커리는 그 전부터 해당 정보가 보호되지 않았으며 공공에 노출돼 있었을 가능성이 높다고 말했다.
비커리는 아마존 웹 서비스의 S3 버킷 내에서 공개 클라우드 저장소를 발견한 6월 12일, 딥루트애널리틱스의 정보를 우연히 찾게 됐다고 밝혔다. 당시 비커리는 업가드의 잘못 구성된 데이터 소스를 찾고 있던 중이었다. 비커리는 인터넷을 이용하고 아마존의 서브도메인인 “dra-dw”를 이용하는 그 누구든지 딥루트애널리틱스의 정보 창고를 발견할 수 있었을 것이라고 지적했다.
비커리는 딥루트애널리틱스가 주법(state law)을 위반했을 가능성이 있었기 때문에, 딥루트애널리틱스에 해당 사실을 알리기 전에 연방 정부당국과 먼저 연락해야겠다고 판단했다고 밝혔다. 비커리가 이런 사실을 발견한 날, 해당 투표자 정보는 바로 접근이 차단됐다고 비커리는 말했다. 연방 정부당국이 딥루트애널리틱스에 접촉한 이후 접근이 차단된 것이기 때문에, 비커리는 딥루트애널리틱스가 자발적으로 이런 사태를 바로잡을 수 있었을지 확신하기 어렵다고 짚었다.
아마존 웹 서비스 S3에서의 유출
어느 회사가 내부 정보를 공공에 노출한 사례는 딥루트애널리틱스가 처음이 아니다. 정부 하청업체인 부즈 앨런 해밀턴(Booz Allen Hamilton)은 최근 약 6만 건의 민감한 미국 정보를 아마존 웹 서비스 S3에 노출시킨 바 있다. 부즈 앨런 해밀턴의 정보 유출 건도 비커리가 최초로 발견해 통보했다.
비커리는 부적절하게 공개 설정된 S3 파일은 매우 흔하게 존재한다고 말한다. 또한, 아마존은 파일 업로드 시 접근권한 설정과 관련해 고객이 책임지도록 하는 등 위험을 분담하고 있다고 비커리는 지적했다.
비커리는 “이런 사건을 통해 CISO가 얻어가야 할 교훈은 클라우드가 위험하다거나 안전하다거나 하는 게 아니라 클라우드에 올려놓고 싶은 정보를 철저하게 검토하는 것”이라고 조언한다. 비커리는 매우 민감한 정보라면 클라우드가 아닌 환경에 저장하는 것이 더 나은 선택일지 모른다고 짚었다.
또한 회사가 민감한 정보를 서드파티 업체를 통해 저장하려고 할 때, “아주 신중하게 해당 업체의 평판을 조사해야만 한다”고 비커리는 강조한다. “때때로 평판 조사도 쉽지 않기 때문에, 추가적인 보안 조치가 반드시 확인돼야만 한다”고도 덧붙였다.
보안 전문업체 얼러트로직(Alert Logic)의 보안 기술협력책임자(security evangelist) 폴 플래처(Paul Fletcher) 역시 비슷한 생각을 갖고 있다. “이번 사건의 방점은 공공 클라우드가 위험하다는 게 아닙니다. 아마존 웹 서비스에서 제공하는 보안 기능과 툴들이 제대로 활용되었다면 이런 일이 안 일어났을 테니까요. 주어진 보안 장치들을 얼마나 활용하느냐가 문제입니다.”
아마존 웹 서비스의 S3은 권한이 부여된 사람에게 디폴트 세팅을 변경하도록 하는 액세스 컨트롤 리스트(ACL)가 장착돼있으며, S3을 사용하는 조직이 그런 세팅을 유지하고 또 수정하도록 설정하고 있다.
[국제부 오다인 기자(boan2@boannews.com)]
부즈 앨런 해밀턴이 6만 여건 정보 노출한 이래 재발생해 우려 커져
[보안뉴스 오다인 기자] 미국에서 수백만 명의 투표자 기록이 유출되는 사건이 발생했다. 유출된 투표자 기록에는 일반 개인정보뿐만 아니라 종교와 인종별로 재구성된 정보도 포함됐던 것으로 알려졌다. 보안 전문업체 업가드(UpGuard)는 딥루트애널리틱스(Deep Root Analytics)의 보호되지 않은 공공 스토리지 클라우드 계정에서 이 같은 유출 사실을 발견해 통보했다.
유출된 정보에는 투표자의 생년월일, 집 주소 및 우편배달 주소, 전화번호, 당파성, 인종 정보, “재구성된(modeled)” 투표자 프로필 등이 포함됐다. 이런 모든 정보는 딥루트애널리틱스가 소유한 아마존 웹 서비스의 S3 버킷 스토리지 계정에서 비밀번호를 입력하지 않고도 접근할 수 있었다고 업가드는 지적했다. 딥루트애널리틱스는 미국 공화당 전국위원회(RNC: Republican National Committee)를 대행해 이 같은 정보를 수집 및 분석해왔다.
투표자 정보 유출을 최초로 발견한 업가드의 사이버 위험 분석가 크리스 비커리(Chris Vickery)는 딥루트애널리틱스가 S3 스토리지의 버킷 파일을 ‘전용(private)’으로 설정하는 대신 ‘공용(public)’으로 접근권한을 설정하는 바람에 이 같은 유출이 발생했다고 밝혔다. 투표자 정보 파일은 공개적으로 볼 수 있었던 데다 해당 파일의 대부분은 다운로드까지 허용돼 있었다고 비커리는 말했다.
“궁극적으로 딥루트애널리틱스의 잘못은 외부와 접촉하는 자사 시스템에 대해 어떠한 감시도 하고 있지 않았다는 점입니다.” 비커리는 만약 딥루트애널리틱스가 제대로 감시 시스템을 가동하고 있었다면, 해당 파일들이 부적절하게 공개돼있었다는 점을 일찍이 발견했을 것이라고 지적했다.
미국의 ‘더힐(The Hill)’지에 따르면, 딥루트애널리틱스는 투표자 정보 유출을 인지한 뒤 “이런 상황에 대해 전적으로 책임을 지겠다”고 밝혔다. 딥루트애널리틱스는 더힐과의 인터뷰에서 투표자 정보가 지난 6월 1일부터 노출돼있었다고 밝혔지만, 비커리는 그 전부터 해당 정보가 보호되지 않았으며 공공에 노출돼 있었을 가능성이 높다고 말했다.
비커리는 아마존 웹 서비스의 S3 버킷 내에서 공개 클라우드 저장소를 발견한 6월 12일, 딥루트애널리틱스의 정보를 우연히 찾게 됐다고 밝혔다. 당시 비커리는 업가드의 잘못 구성된 데이터 소스를 찾고 있던 중이었다. 비커리는 인터넷을 이용하고 아마존의 서브도메인인 “dra-dw”를 이용하는 그 누구든지 딥루트애널리틱스의 정보 창고를 발견할 수 있었을 것이라고 지적했다.
비커리는 딥루트애널리틱스가 주법(state law)을 위반했을 가능성이 있었기 때문에, 딥루트애널리틱스에 해당 사실을 알리기 전에 연방 정부당국과 먼저 연락해야겠다고 판단했다고 밝혔다. 비커리가 이런 사실을 발견한 날, 해당 투표자 정보는 바로 접근이 차단됐다고 비커리는 말했다. 연방 정부당국이 딥루트애널리틱스에 접촉한 이후 접근이 차단된 것이기 때문에, 비커리는 딥루트애널리틱스가 자발적으로 이런 사태를 바로잡을 수 있었을지 확신하기 어렵다고 짚었다.
아마존 웹 서비스 S3에서의 유출
어느 회사가 내부 정보를 공공에 노출한 사례는 딥루트애널리틱스가 처음이 아니다. 정부 하청업체인 부즈 앨런 해밀턴(Booz Allen Hamilton)은 최근 약 6만 건의 민감한 미국 정보를 아마존 웹 서비스 S3에 노출시킨 바 있다. 부즈 앨런 해밀턴의 정보 유출 건도 비커리가 최초로 발견해 통보했다.
비커리는 부적절하게 공개 설정된 S3 파일은 매우 흔하게 존재한다고 말한다. 또한, 아마존은 파일 업로드 시 접근권한 설정과 관련해 고객이 책임지도록 하는 등 위험을 분담하고 있다고 비커리는 지적했다.
비커리는 “이런 사건을 통해 CISO가 얻어가야 할 교훈은 클라우드가 위험하다거나 안전하다거나 하는 게 아니라 클라우드에 올려놓고 싶은 정보를 철저하게 검토하는 것”이라고 조언한다. 비커리는 매우 민감한 정보라면 클라우드가 아닌 환경에 저장하는 것이 더 나은 선택일지 모른다고 짚었다.
또한 회사가 민감한 정보를 서드파티 업체를 통해 저장하려고 할 때, “아주 신중하게 해당 업체의 평판을 조사해야만 한다”고 비커리는 강조한다. “때때로 평판 조사도 쉽지 않기 때문에, 추가적인 보안 조치가 반드시 확인돼야만 한다”고도 덧붙였다.
보안 전문업체 얼러트로직(Alert Logic)의 보안 기술협력책임자(security evangelist) 폴 플래처(Paul Fletcher) 역시 비슷한 생각을 갖고 있다. “이번 사건의 방점은 공공 클라우드가 위험하다는 게 아닙니다. 아마존 웹 서비스에서 제공하는 보안 기능과 툴들이 제대로 활용되었다면 이런 일이 안 일어났을 테니까요. 주어진 보안 장치들을 얼마나 활용하느냐가 문제입니다.”
아마존 웹 서비스의 S3은 권한이 부여된 사람에게 디폴트 세팅을 변경하도록 하는 액세스 컨트롤 리스트(ACL)가 장착돼있으며, S3을 사용하는 조직이 그런 세팅을 유지하고 또 수정하도록 설정하고 있다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
