주요 기업 수백 곳, 공개 여부 잘못 설정해 개인 식별 정보 무방비로 노출
“기업들, 공공 클라우드 보안과 관련해 대단히 중요한 변곡점에 와 있어”
[보안뉴스 오다인 기자] 주요 기업들이 구글 그룹스(Google Groups)를 구성할 때 저지른 실수로 민감한 정보들을 공공에 노출해온 것으로 드러났다.
[이미지=iclickart]
클라우드 보안 업체 레드록(RedLock)의 CSI(Cloud Security Intelligence) 연구진은 수백 개 기업들이 고객들의 이름, 비밀번호, 이메일, 집 주소, 연봉 세부사항, 판매 경로 정보 등 민감한 개인 식별 정보(PII)를 구글 그룹스에 부주의하게 노출하고 있다는 사실을 발견했다. 기업 내부에서 오간 메시지도 노출돼 있어, 경쟁 기업이 유리하게 써먹을 수 있는 기업 전략 역시 노출돼 있었다고 레드록 공동 설립자이자 CEO인 바룬 바드워(Varun Badhwar)는 설명했다.
‘weather.com’과 ‘intellicast.com’을 운영하는 IBM 산하의 웨더컴퍼니(Weather Company) 역시 위의 기업들 가운데 포함됐다. ‘Gizmodo’, ‘The Onion’, ‘Jezebel’, ‘Lifehacker’의 모회사인 퓨전미디어그룹(Fusion Media Group) 또한 동일한 실수를 저질렀다.
바드워는 이번 연구에 대해 “레드록 CSI 연구진은 원래 구글 그룹스에서 사례 하나만 찾으려고 했는데 수십 개를 찾게 됐다”고 말한다. “이 같은 결과를 바탕으로 유추해보면, 구성 실수를 한 기업은 수백 개에 달할 것으로 보입니다.”
구글 그룹스는 기업들이 이메일로 단체 대화를 하거나 온라인에서 토론을 할 때 사용하는 G 스위트(G Suite) 채팅 애플리케이션이다. 구글 그룹스를 구성하는 과정에서 관리자는 “도메인 외부에서 그룹에 접근하기(Outside this domain – access to groups)”라는 공유 옵션을 통해 메시지의 공개 여부를 설정할 수 있다.
정보를 유출한 기업들은 이 과정에서 실수로 “인터넷에 공개(public on the Internet)”라는 공유 옵션을 선택했다. 이에 웹을 이용하는 누구나 기업 내부의 메시지 등 모든 정보에 접근할 수 있었다. 레드록은 구글 그룹스를 사용하는 기업들이 “비공개(private)” 버튼이 “도메인 외부에서 그룹에 접근하기”에 대한 공유 설정이라고 설명했다.
바드워에 따르면 레드록 CSI 연구진은 정기적으로 다양한 클라우드 인프라스트럭처 도구를 확인하고 있다. 위협을 가할 수 있는 요인에는 무엇이 있는지, 보안 사고를 일으킬 수 있는 구성 실수를 탐지하는 데 어떤 정보가 공개적으로 이용 가능한지 등을 모니터하기 위해서다. 지금까지 이 연구진은 클라우드 구성 실수로 480만 건이 넘는 기록들이 노출됐다는 것을 발견했다.
기업들이 클라우드 공개 설정을 제대로 못해서 정보를 노출한 건 이번이 처음은 아니다. 레드록이 이번 연구를 발표하기 직전에, 다우존스(Dow Jones & Co.)도 수백만 건의 고객 개인 정보를 유출했다. 다우존스는 아마존 웹 서버(AWS) S3 버킷에서 구성 실수를 저질렀다. 다우존스는 AWS의 정식 사용자라면 누구나 그들의 정보에 접근할 수 있도록 설정했는데 이로써 AWS 계정을 무료로 사용하는 100만 명의 사용자 중 누구나 이런 정보를 볼 수 있었다.
다우존스는 220만 명의 정보가 노출됐다는 사실을 인정했다. 그러나 다우존스의 노출 사실을 최초로 발견한 보안 업체 업가드(Upguard)에 따르면 버킷의 규모나 조합에 견줘볼 때, 220만 명이 아니라 대략 400만 명의 정보가 노출됐을 것으로 보인다. 다우존스가 노출된 정보 중 어떤 것도 도난 됐다고 “믿을 만한 이유가 전혀 없다”고 판단하는 것과 달리, 이번 사고는 기업들이 클라우드 서비스를 안전하게 적용하는 데 애를 먹고 있다는 사실의 방증이라고 볼 수 있다.
올해 초, 업가드는 딥루트애널리틱스(Deep Root Analytics)가 실수로 투표자 기록 수백만 건을 유출했다는 사실을 발견하기도 했다. 역시 보호되지 않은 공공 스토리지 계정을 사용했기 때문이었다. 유출된 정보에는 전화번호, 생년월일, 집 주소, 우편배달 주소, 당파성, 인종 정보 등이 포함됐다.
딥루트애널리틱스는 미국 공화당 전국위원회(RNC: Republican National Committee)를 대행하는 분석 전문 업체다. 딥루트애널리틱스는 AWS S3 스토리지 버킷의 파일을 비공개 또는 전용(private)으로 설정하는 대신 공개(public)로 설정하는 실수를 저질렀다. 유출된 기록들은 다운로드할 수도 있었으며 비밀번호를 입력하지 않고도 파일에 접근할 수 있었다.
“공공 클라우드는 제대로만 구성되면 보안성이 매우 높습니다. 그러나 지금 저희가 목격하는 상황은 다릅니다. 현재 기업들은 클라우드 애플리케이션과 공공 클라우드 인프라스트럭처를 적절하게 보호하는 방법을 배우는 것과 관련해 대단히 중요한 변곡점에 와 있습니다.” 바드워의 말이다.
안타깝게도 수많은 기업들이 기본적인 보안과 관련해서도 고분군투하고 있는 중이다. 레드록 CSI 연구진은 공유 설정을 잘못해서 공공 클라우드 자원을 노출한 기업이 40%에 달한다고 밝혔다. 최근 대규모 유출이 연이어 터진 것도 이런 배경에 기인한다고 바드워는 지적했다.
“SaaS 애플리케이션에서나 클라우드 인프라스트럭처에서나 단순한 구성 실수는 잠재적으로 파괴적인 결과를 낳을 수 있습니다.” 바드워는 최근의 미국 프로레슬링(WWE: World Wrestling Entertainment)과 부즈 앨런 해밀턴(Booz Allen Hamilton)에서의 유사한 실수들을 지적하면서 이 같이 경고했다.
기업이 보안 실천 방법과 도구들에 대해 직원을 교육하는 것이 중요하다고 바드워는 강조했다. 기업은 이를 위해 보안 애플리케이션이나 워크로드, 시스템 절차를 자동화할 수도 있다고 덧붙였다. 이렇게 직원을 교육할 때까지 지금까지의 유출 문제들은 앞으로도 계속 나타날 것이라고 바드워는 예측했다.
[국제부 오다인 기자(boan2@boannews.com)]
“기업들, 공공 클라우드 보안과 관련해 대단히 중요한 변곡점에 와 있어”
[보안뉴스 오다인 기자] 주요 기업들이 구글 그룹스(Google Groups)를 구성할 때 저지른 실수로 민감한 정보들을 공공에 노출해온 것으로 드러났다.
[이미지=iclickart]
클라우드 보안 업체 레드록(RedLock)의 CSI(Cloud Security Intelligence) 연구진은 수백 개 기업들이 고객들의 이름, 비밀번호, 이메일, 집 주소, 연봉 세부사항, 판매 경로 정보 등 민감한 개인 식별 정보(PII)를 구글 그룹스에 부주의하게 노출하고 있다는 사실을 발견했다. 기업 내부에서 오간 메시지도 노출돼 있어, 경쟁 기업이 유리하게 써먹을 수 있는 기업 전략 역시 노출돼 있었다고 레드록 공동 설립자이자 CEO인 바룬 바드워(Varun Badhwar)는 설명했다.
‘weather.com’과 ‘intellicast.com’을 운영하는 IBM 산하의 웨더컴퍼니(Weather Company) 역시 위의 기업들 가운데 포함됐다. ‘Gizmodo’, ‘The Onion’, ‘Jezebel’, ‘Lifehacker’의 모회사인 퓨전미디어그룹(Fusion Media Group) 또한 동일한 실수를 저질렀다.
바드워는 이번 연구에 대해 “레드록 CSI 연구진은 원래 구글 그룹스에서 사례 하나만 찾으려고 했는데 수십 개를 찾게 됐다”고 말한다. “이 같은 결과를 바탕으로 유추해보면, 구성 실수를 한 기업은 수백 개에 달할 것으로 보입니다.”
구글 그룹스는 기업들이 이메일로 단체 대화를 하거나 온라인에서 토론을 할 때 사용하는 G 스위트(G Suite) 채팅 애플리케이션이다. 구글 그룹스를 구성하는 과정에서 관리자는 “도메인 외부에서 그룹에 접근하기(Outside this domain – access to groups)”라는 공유 옵션을 통해 메시지의 공개 여부를 설정할 수 있다.
정보를 유출한 기업들은 이 과정에서 실수로 “인터넷에 공개(public on the Internet)”라는 공유 옵션을 선택했다. 이에 웹을 이용하는 누구나 기업 내부의 메시지 등 모든 정보에 접근할 수 있었다. 레드록은 구글 그룹스를 사용하는 기업들이 “비공개(private)” 버튼이 “도메인 외부에서 그룹에 접근하기”에 대한 공유 설정이라고 설명했다.
바드워에 따르면 레드록 CSI 연구진은 정기적으로 다양한 클라우드 인프라스트럭처 도구를 확인하고 있다. 위협을 가할 수 있는 요인에는 무엇이 있는지, 보안 사고를 일으킬 수 있는 구성 실수를 탐지하는 데 어떤 정보가 공개적으로 이용 가능한지 등을 모니터하기 위해서다. 지금까지 이 연구진은 클라우드 구성 실수로 480만 건이 넘는 기록들이 노출됐다는 것을 발견했다.
기업들이 클라우드 공개 설정을 제대로 못해서 정보를 노출한 건 이번이 처음은 아니다. 레드록이 이번 연구를 발표하기 직전에, 다우존스(Dow Jones & Co.)도 수백만 건의 고객 개인 정보를 유출했다. 다우존스는 아마존 웹 서버(AWS) S3 버킷에서 구성 실수를 저질렀다. 다우존스는 AWS의 정식 사용자라면 누구나 그들의 정보에 접근할 수 있도록 설정했는데 이로써 AWS 계정을 무료로 사용하는 100만 명의 사용자 중 누구나 이런 정보를 볼 수 있었다.
다우존스는 220만 명의 정보가 노출됐다는 사실을 인정했다. 그러나 다우존스의 노출 사실을 최초로 발견한 보안 업체 업가드(Upguard)에 따르면 버킷의 규모나 조합에 견줘볼 때, 220만 명이 아니라 대략 400만 명의 정보가 노출됐을 것으로 보인다. 다우존스가 노출된 정보 중 어떤 것도 도난 됐다고 “믿을 만한 이유가 전혀 없다”고 판단하는 것과 달리, 이번 사고는 기업들이 클라우드 서비스를 안전하게 적용하는 데 애를 먹고 있다는 사실의 방증이라고 볼 수 있다.
올해 초, 업가드는 딥루트애널리틱스(Deep Root Analytics)가 실수로 투표자 기록 수백만 건을 유출했다는 사실을 발견하기도 했다. 역시 보호되지 않은 공공 스토리지 계정을 사용했기 때문이었다. 유출된 정보에는 전화번호, 생년월일, 집 주소, 우편배달 주소, 당파성, 인종 정보 등이 포함됐다.
딥루트애널리틱스는 미국 공화당 전국위원회(RNC: Republican National Committee)를 대행하는 분석 전문 업체다. 딥루트애널리틱스는 AWS S3 스토리지 버킷의 파일을 비공개 또는 전용(private)으로 설정하는 대신 공개(public)로 설정하는 실수를 저질렀다. 유출된 기록들은 다운로드할 수도 있었으며 비밀번호를 입력하지 않고도 파일에 접근할 수 있었다.
“공공 클라우드는 제대로만 구성되면 보안성이 매우 높습니다. 그러나 지금 저희가 목격하는 상황은 다릅니다. 현재 기업들은 클라우드 애플리케이션과 공공 클라우드 인프라스트럭처를 적절하게 보호하는 방법을 배우는 것과 관련해 대단히 중요한 변곡점에 와 있습니다.” 바드워의 말이다.
안타깝게도 수많은 기업들이 기본적인 보안과 관련해서도 고분군투하고 있는 중이다. 레드록 CSI 연구진은 공유 설정을 잘못해서 공공 클라우드 자원을 노출한 기업이 40%에 달한다고 밝혔다. 최근 대규모 유출이 연이어 터진 것도 이런 배경에 기인한다고 바드워는 지적했다.
“SaaS 애플리케이션에서나 클라우드 인프라스트럭처에서나 단순한 구성 실수는 잠재적으로 파괴적인 결과를 낳을 수 있습니다.” 바드워는 최근의 미국 프로레슬링(WWE: World Wrestling Entertainment)과 부즈 앨런 해밀턴(Booz Allen Hamilton)에서의 유사한 실수들을 지적하면서 이 같이 경고했다.
기업이 보안 실천 방법과 도구들에 대해 직원을 교육하는 것이 중요하다고 바드워는 강조했다. 기업은 이를 위해 보안 애플리케이션이나 워크로드, 시스템 절차를 자동화할 수도 있다고 덧붙였다. 이렇게 직원을 교육할 때까지 지금까지의 유출 문제들은 앞으로도 계속 나타날 것이라고 바드워는 예측했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 TH.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
