아마존의 AWS S3 버킷 설정 오류로 정보 노출...벌써 다섯 번째
앞으로 더 많아질 것...모든 데이터는 암호화를 적용시켜야
[보안뉴스 문가용 기자] 다우존스(Dow Jones & Co.)에서 데이터 유출사고가 터졌다. 수백만 고객들의 개인정보가 공공 클라우드로부터 새나간 것이다. 원인은 환경설정 오류. 이로써 최근 수개월 동안만 다섯 번이나 설정 오류로 인한 클라우드 정보 유출 사건이 발생하게 되었다. 그 전에는 버라이즌, WWE, US 유권자 기록실, 스콧트레이드(Scottrade)에서 거의 흡사한 사고가 있었다.
[이미지 = iclickart]
하지만 ‘실수’로만 이 사건을 묘사하기엔 피해가 너무 크다. 수백만 개인들의 이름, 계정 정보, 물리적 주소, 이메일 주소, 신용카드 마지막 네 자리 수가 고스란히 노출되었기 때문이다. 또한 금융 기업들이 돈세탁 방지 규정을 지키기 위해 사용하는 데이터베이스 집합체인 다우존스 리스크 앤 컴플라이언스(Dow Jones Risk and Compliance)에 저장된 기록 1백 6십만 건 역시 영향을 받았다.
이 모든 정보가 저장되어 있던 곳은 다름 아니라 AWS S3 버킷. AWS 인증 사용자라면 누구나 버킷의 URL을 사용해 데이터를 다운로드 받을 수 있도록 설정되어 있었다. 아마존이 말하는 ‘인증 사용자’는 AWS 무료 계정을 하나라도 가지고 있는 모든 사람을 말한다. 즉 해당 정보는 1백만이 넘는 사용자들에게 그냥 공개가 되어 있던 상태라는 뜻이다.
사이버 보안 전문업체인 업가드(Upguard)의 사이버 위협 연구 책임자인 크리스 비커리(Chris Vickery)는 5월 30일 dj-skynet이라는 서브도메인으로부터 다우존스의 정보에 접근할 수 있다는 사실을 최초 발견하고 이를 알렸다. 다우존스는 6월 6일 문제를 시정했다.
다우존스는 “2백 2십만 고객이 노출됐다”고 발표했다. 하지만 업가드의 예상 수치는 조금 다르다. “저장소의 크기와 구성을 봤을 때 아무리 적게 잡아도 4백만 고객이 피해를 봤을 것 같다”는 것이다. “다만 사람에 따라 복수 계정을 보유하고 있으므로 4백만이란 숫자가 전부 고유한 개개개인을 가리키고 있는 건 아닙니다.”
다우존스는 대변인을 통해 “데이터가 도난당했다는 증거 역시 찾지 못했다”고 주장했다. 게다가 “치명적인 피해가 발생할만한 정보도 아니었다”고 설명하기도 했다. 신용카드 번호의 경우 겨우 네 자리만 노출되었을 뿐이라는 게 다우존스의 입장이다.
보안 전문가들은 이런 식의 사고가 앞으로도 계속해서 발생할 것이라고 보고 있다. 특히 클라우드의 도입률이 급증하면서 분명 누군가는 비슷한 실수를 저지를 확률이 높을 것이라고 한다. “그리고 이런 일이 많아지면, 이를 노리는 해커나 악성 행위자들 또한 늘어나겠죠. 다우존스의 주장대로 지금 당장은 도난의 흔적이 발견되지는 않았지만, 이런 실수가 전체적으로 누군가에 ‘학습’되고 있다는 것만으로도 피해입니다.”
클라우드 보안 전문업체인 돔9(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “이런 문제는 공공 클라우드 제공업체가 본격적으로 시장에 고객들을 유치하면서부터 불거졌다”며 “이제 한 개 클라우드가 아니라 멀티 클라우드를 사용하는 시대이므로, 이런 작은 실수들은 더욱 많아질 것”이라고 말한다.
이에 클라우드 제공 업체들은 이러한 실수를 막기 위한 장치들을 추가할 것이 분명하다. “하지만 이러한 일련의 사고들을 통해 배워야 할 것은 ‘추가 장치가 필요하다’는 게 아닙니다. 데이터가 클라우드에 어떻게 저장되어 있고, 어떻게 유통되고 있으며, 어떤 환경 아래 노출되어 있는지를 기업이 끊임없이 살펴야 한다는 겁니다.” 조하르 알론의 설명이다.
“사실 클라우드를 좀 만져보라고 하면 대부분 ‘너무 신기술이고 어려워서 난 못해’라고 지레 겁을 먹는 걸 많이 봤어요. 사람뿐 아니라 기업 전체가 그래요. 겁이 나니 관심을 못 갖게 되고, 그래서 이런 사고들이 나는 겁니다. 또, 내부에서만 클라우드 담당자를 뽑아 키우려고 하는데, 충분한 교육이 뒷받침 되지 않는 경우도 많이 봅니다.”
클라우드 워크로드 보호 업체인 브래킷 컴퓨팅(Bracket Computing)의 CTO 제이슨 랑고(Jason Lango)는 “공공 클라우드에 데이터를 저장하는 것과 공개적으로 데이터를 잃는 건 종이 한 장 차이에 불과하다는 걸 깊이 이해해야 한다”는 의견이다. “공공 클라우드의 기본 설계 목적은 ‘공유’입니다. 숨김이 아니라는 거죠. 아마존의 서비스들은 역시 정보를 인터넷에 더 활발하게 올리기 위한 것들이 많아요.”
제이슨은 “클라우드로 옮기는 모든 정보는 기본적으로 암호화를 적용시켜야 한다”고 주장하기도 했다. “또한 IT 팀은 보안 정책을 결정하는 자들과 그 정책을 실천하거나 도입시키는 자, 클라우드 앱을 관리하는 자들의 책임과 역할을 정확하게 구분지어 줄 필요도 있습니다. 이 책임소재 문제만 해결돼도 실수는 크게 줄어들 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
앞으로 더 많아질 것...모든 데이터는 암호화를 적용시켜야
[보안뉴스 문가용 기자] 다우존스(Dow Jones & Co.)에서 데이터 유출사고가 터졌다. 수백만 고객들의 개인정보가 공공 클라우드로부터 새나간 것이다. 원인은 환경설정 오류. 이로써 최근 수개월 동안만 다섯 번이나 설정 오류로 인한 클라우드 정보 유출 사건이 발생하게 되었다. 그 전에는 버라이즌, WWE, US 유권자 기록실, 스콧트레이드(Scottrade)에서 거의 흡사한 사고가 있었다.
[이미지 = iclickart]
하지만 ‘실수’로만 이 사건을 묘사하기엔 피해가 너무 크다. 수백만 개인들의 이름, 계정 정보, 물리적 주소, 이메일 주소, 신용카드 마지막 네 자리 수가 고스란히 노출되었기 때문이다. 또한 금융 기업들이 돈세탁 방지 규정을 지키기 위해 사용하는 데이터베이스 집합체인 다우존스 리스크 앤 컴플라이언스(Dow Jones Risk and Compliance)에 저장된 기록 1백 6십만 건 역시 영향을 받았다.
이 모든 정보가 저장되어 있던 곳은 다름 아니라 AWS S3 버킷. AWS 인증 사용자라면 누구나 버킷의 URL을 사용해 데이터를 다운로드 받을 수 있도록 설정되어 있었다. 아마존이 말하는 ‘인증 사용자’는 AWS 무료 계정을 하나라도 가지고 있는 모든 사람을 말한다. 즉 해당 정보는 1백만이 넘는 사용자들에게 그냥 공개가 되어 있던 상태라는 뜻이다.
사이버 보안 전문업체인 업가드(Upguard)의 사이버 위협 연구 책임자인 크리스 비커리(Chris Vickery)는 5월 30일 dj-skynet이라는 서브도메인으로부터 다우존스의 정보에 접근할 수 있다는 사실을 최초 발견하고 이를 알렸다. 다우존스는 6월 6일 문제를 시정했다.
다우존스는 “2백 2십만 고객이 노출됐다”고 발표했다. 하지만 업가드의 예상 수치는 조금 다르다. “저장소의 크기와 구성을 봤을 때 아무리 적게 잡아도 4백만 고객이 피해를 봤을 것 같다”는 것이다. “다만 사람에 따라 복수 계정을 보유하고 있으므로 4백만이란 숫자가 전부 고유한 개개개인을 가리키고 있는 건 아닙니다.”
다우존스는 대변인을 통해 “데이터가 도난당했다는 증거 역시 찾지 못했다”고 주장했다. 게다가 “치명적인 피해가 발생할만한 정보도 아니었다”고 설명하기도 했다. 신용카드 번호의 경우 겨우 네 자리만 노출되었을 뿐이라는 게 다우존스의 입장이다.
보안 전문가들은 이런 식의 사고가 앞으로도 계속해서 발생할 것이라고 보고 있다. 특히 클라우드의 도입률이 급증하면서 분명 누군가는 비슷한 실수를 저지를 확률이 높을 것이라고 한다. “그리고 이런 일이 많아지면, 이를 노리는 해커나 악성 행위자들 또한 늘어나겠죠. 다우존스의 주장대로 지금 당장은 도난의 흔적이 발견되지는 않았지만, 이런 실수가 전체적으로 누군가에 ‘학습’되고 있다는 것만으로도 피해입니다.”
클라우드 보안 전문업체인 돔9(Dome9)의 CEO 조하르 알론(Zohar Alon)은 “이런 문제는 공공 클라우드 제공업체가 본격적으로 시장에 고객들을 유치하면서부터 불거졌다”며 “이제 한 개 클라우드가 아니라 멀티 클라우드를 사용하는 시대이므로, 이런 작은 실수들은 더욱 많아질 것”이라고 말한다.
이에 클라우드 제공 업체들은 이러한 실수를 막기 위한 장치들을 추가할 것이 분명하다. “하지만 이러한 일련의 사고들을 통해 배워야 할 것은 ‘추가 장치가 필요하다’는 게 아닙니다. 데이터가 클라우드에 어떻게 저장되어 있고, 어떻게 유통되고 있으며, 어떤 환경 아래 노출되어 있는지를 기업이 끊임없이 살펴야 한다는 겁니다.” 조하르 알론의 설명이다.
“사실 클라우드를 좀 만져보라고 하면 대부분 ‘너무 신기술이고 어려워서 난 못해’라고 지레 겁을 먹는 걸 많이 봤어요. 사람뿐 아니라 기업 전체가 그래요. 겁이 나니 관심을 못 갖게 되고, 그래서 이런 사고들이 나는 겁니다. 또, 내부에서만 클라우드 담당자를 뽑아 키우려고 하는데, 충분한 교육이 뒷받침 되지 않는 경우도 많이 봅니다.”
클라우드 워크로드 보호 업체인 브래킷 컴퓨팅(Bracket Computing)의 CTO 제이슨 랑고(Jason Lango)는 “공공 클라우드에 데이터를 저장하는 것과 공개적으로 데이터를 잃는 건 종이 한 장 차이에 불과하다는 걸 깊이 이해해야 한다”는 의견이다. “공공 클라우드의 기본 설계 목적은 ‘공유’입니다. 숨김이 아니라는 거죠. 아마존의 서비스들은 역시 정보를 인터넷에 더 활발하게 올리기 위한 것들이 많아요.”
제이슨은 “클라우드로 옮기는 모든 정보는 기본적으로 암호화를 적용시켜야 한다”고 주장하기도 했다. “또한 IT 팀은 보안 정책을 결정하는 자들과 그 정책을 실천하거나 도입시키는 자, 클라우드 앱을 관리하는 자들의 책임과 역할을 정확하게 구분지어 줄 필요도 있습니다. 이 책임소재 문제만 해결돼도 실수는 크게 줄어들 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
