올해 미국에서 발생한 클라우드 설정 오류 사건들 10과 각각의 시사점
데이터를 맡긴다고 해서 보안까지 맡기는 건 아니라는 전문가들의 지적
[보안뉴스 문가용 기자] 2017년부터 빈번해진 현상이 하나 있다면 클라우드 환경 설정 오류로 인해 중요한 정보들이 인터넷을 통해 의도치 않게 공개되는 것이다. 특히 AWS의 심플 스토리지 서비스(Simple Storage Service, S3)에서 이런 일이 연이어 발생하고 있다. 하지만 보안 업체 레드록(RedLock)의 CEO인 바룬 바드워(Varun Badhwar)는 “심각한 사고이긴 한데, 이런 현상 자체가 놀랍지는 않다”고 말한다. 예견했던 일이라는 것이다.
[이미지 = iclickart]
레드록은 클라우드 보안 인텔리전스(Cloud Security Intelligence, CSI)라는 클라우드 연구 프로젝트를 진행하고 있는데, AWS S3 등 클라우드 서비스를 이용하는 기업들의 53%가 지난 5월부터 올해 5월까지 1년 간 공공 인터넷에 중요한 자료를 뜻하지 않게 유출시킨 적이 있다는 사실을 알아냈다. 지난 해 5월 조사에서는 이 수치가 40%로 나왔었다. 올해 유독 클라우드 사고가 많이 일어나는 것처럼 느껴지는 게 당연하다.
이는 중소기업이든 대기업이든 모두 주목해야 할 사실이다. 클라우드 기술을 가진 제3의 기업에게 민감한 정보를 모두 맡기므로 보안까지 맡긴다는 이상한 풍토가 여기서 발견되기 때문이다. 보안 업체 뷰포스트(Viewpost)의 수석 보안 책임자인 크리스 피어슨(Chris Pierson)은 “기술은 아웃소싱할 수 있지만 위험까지 누군가 맡아줄 순 없다”고 꼬집는다. 이번 주 본지 주말판에서는 ‘올해에만’ 일어난 AWS 유출 사고들을 열거했다.
1. 액센츄어(Accenture)
보안 업체 업가드(UpGuard)의 사이버 리스크 팀(Cyber Risk Team)이 발견한 사고. 액센츄어라는 다국적 컨설팅 업체가 AWS S3 버킷을 무려 네 개 이상이나 공공 인터넷에 공개되도록 설정해 민감한 데이터가 대량으로 노출됐다. 민감한 데이터라고 하면 인증 크리덴셜, 비밀 API와 관련된 정보, 디지털 인증서 다수, 복호화 키 다수, 고객 정보 등이다. 이런 정보들은 액센츄어는 물론 그 고객들까지도 위험하게 만들 수 있는 것들이다. 액센츄어의 고객들은 포춘지가 선정한 100대 기업 중 94개 기업들이며, 포춘 500대 기업의 75%를 차지하고 있다.
또한 네 개의 버킷들 모두가 서버들이었다. 그중 용량이 가장 큰 건 137GB였다. 무려 ‘서버’이기까지 하고 100GB 단위의 정보들이, 누구나 다운로드 받을 수 있게끔 되어 있었던 것. 무구라도 버킷의 웹 주소를 브라우저에 입력하기만 하면 그 자료는 다 그 사람의 것이었다. 그 중 한 폴더에서는 액센츄어의 AWS 키 관리 서비스(AWS Key Management Service)의 마스터 접근 키가 평문으로 저장되어 있기까지 했다.
업가드는 금전적으로 상상하기 힘든 피해로 이어질 수 있는 상황이라고 설명하며, “누군가 이 키를 취득해 액센츄어 직원인 척 가장해 네트워크에 침입한 후에 어떤 정보라도 취득할 수 있었다”고 말한다. 게다가 S3 버킷이 열려있는 동안 누가 들어와 어떤 데이터를 가져 갔는지 알 수 있는 방법이 없어 상황이 완전히 해제된 것도 아니다.
2. 바이어컴(Viacom)
바이어컴은 세계에서 6번째로 큰 미디어 회사로, 180억 달러의 가치를 가지고 있다. 그런데 이런 회사도 기본적인 클라우드 관리에 실패했다. 내부 데이터 접근용 크리덴셜을 비롯한 여러 치명적인 데이터를 누구나 다운로드 받을 수 있도록 AWS S3를 설정한 것이다. 이 데이터를 누군가 다운로드 받았다면 이 대형 미디어 거인의 내부 IT 인프라에 접속해 들어갈 수 있었다.
이 치명적인 실수 역시 업가드의 사이버 리스크 리서치 팀이 발견했다. 이 팀에 속한 보안 전문가 크리스 비커리(Chris Vickery)는 이 실수를 더 깊게 파고들었고, 퍼펫(Puppet)으로 운영되고 있는 마스터 서버와 바이어컴 파트너사들 및 브랜드 모두와 연결돼 있는 바이어컴 서버 관리 시스템을 구축하는 데 필요한 크리덴셜까지 추가로 찾아냈다. 바이어컴의 비밀 클라우드 키 역시 노출된 버킷 안에 들어있었다.
이 정보들을 전부 조합하면 어떤 결과가 나올까? “아무나 바이어컴의 서버, 스토리지, 데이터베이스, 몇몇 클라우드 인스턴스에 접속이 가능하다는 소리입니다. 클라우드 인스턴스 종류도 많아서, 도커(Docker), 스플렁크(Splunk), 뉴 렐릭(New Relic), 젠킨스(Jenkins)가 있었습니다.” 최근 일어난 클라우드 S3 버킷 사고가 한두 건이 아니지만, 이렇게까지 내부 사정이 자세히 드러난 예도 없었다.
3. 버라이즌(Verizon)
정확히는, 역시 세계에서 손꼽히는 통신사인 버라이즌의 서드파티 벤더인 NICE 시스템즈(NICE Systems)가 AWS S3 버킷 관리에 실수했다. 그래서 미국 버라이즌 고객들 수백만 명의 이름, 집 주소, 계정 정보, PIN 번호가 죄다 노출됐다. 이러한 실수를 발견한 것도 역시 업가드로 정확히 ‘1천 4백만 명’의 정보가 유출됐다고 세상에 알렸다. 하지만 버라이즌 측은 6백만 명이라고 조금은 다른 숫자를 내놓고 반박했다.
실수가 발견된 계정은 NICE 시스템즈의 엔지니어가 파일을 저장하기 위해 마련하고 관리했던 것으로, 특히 고객들의 통화 데이터를 기록하는 데 활용됐다고 한다. 이 계정과 통화 데이터는 관리부서와 콜센터에서 주로 사용됐다. 이 역시 업가드가 발견했는데, 업가드에 의하면 ‘통화 데이터’는 고객들의 전화번호, 관련 PIN 번호 등이었다고 한다. 이 정도 정보만 있어도 공격자가 특정 고객인 것처럼 사칭해 계정에 접근할 수 있게 된다.
이 사건은 서드파티 벤더에게 민감한 데이터를 위탁할 때 보안 문제까지도 모두 맡겨버리는 것이 얼마나 위험한 일인지 드러내는 사례로 남았다. 아직도 누가 수백만 버라이즌 고객의 민감한 정보를 우연히라도 발견해 다운로드 받았는지 알 수가 없다.
4. 부즈 앨런 해밀턴(Booz Allen Hamilton)
업가드의 연구원 비커리의 또 다른 발견으로, 첩보 및 방산 분야의 대기업인 부즈 앨런 해밀턴이 소유한 S3 버킷이 공공 인터넷을 통해 접근 가능한 상태로 설정되어 있었고, 거기엔 약 6만 개의 파일이 저장되어 있었다. 총 용량은 28GB였으며 수석 엔지니어들의 크리덴셜, 미국 정부 기관 시스템으로의 비밀번호, 일급기밀 접근 권한을 가진 정부 상대 업자들의 비밀번호들이 담겨 있었다. 일부는 심지어 암호화가 되어 있지도 않았다.
이 파일들에는 미국의 국립지리정보국(NGA)에 대한 언급들도 제법 존재했다. NGA는 전투를 지원하는 곳으로, CIA 등의 정부 기관과 협력하여 특정 지역과 관련된 데이터를 모으고 스파이 위성과 드론을 운영한다. 또한 데이터센터 운영 시스템의 마스터 크리덴셜도 있었고, 심지어 국방부 시스템에 접근할 수 있게 해주는 크리덴셜도 있었다.
“국가 안보와 관련된 다양한 시설, 기관, 정보에 접근할 수 있게 해주는 엄청난 데이터들이었습니다. 그 누구도 가지지 못한 정보들이었고, 그러므로 누구나 원하는 정보들이었죠. 게다가 미국의 국방은 모두의 관심사 아니겠습니까? 그런 정보가 대형 국방 기업에 의해 친절하게 비밀번호까지 다 풀려서 공개된 겁니다.” 이는 해당 사건을 접한 민주당 최고의원인 클레어 맥카스킬(Claire McCaskill)의 일갈이다.
5. WWE
지난 7월, 보안 업체 크롬텍(Kromtech)의 보안 전문가들이 세계 레슬링 엔터테인먼트(WWE)가 보유한 정보가 대량으로 노출되어 있는 걸 발견했다. AWS S3 버킷에 저장된 이 데이터에는 최소한의 ID-비밀번호 보호도 되어 있지 않았고, 그 상태로 인터넷 사용이 가능한 누구에게나 열려 있었다.
이 때 발견된 AWS S3 버킷은 정확히 두 개였고, 여기에 들어있는 정보 중 약 12%가 대중에게 공개된 상태로 설정되어 있다. 첫 번째 버킷에는 2014~2015년에 등록된 고객들의 민감한 정보가 보호되지 않은 채 저장되어 있었다. 거기에는 이름, 거주지 주소, 이메일 주소, 생년월일, 교육적 배경, 나이, 인종, 자녀 연령 및 성별 주소가 아주 자세하게 기록되어 있었다고 한다. 총 3,065,805 건의 기록이 저장되어 있었다.
두 번째 버킷은 어땠을까? 여기에도 다양한 정보가 저장되어 있었다. 2016년부터 등록된 유럽 고객들의 정보가 대부분이었고, 각종 비용 처리 관련 정보가 특히 많았다. 사용자 이름과 청구서가 발송되는 주소는 물론 WWE의 소셜 미디어 채널 및 계정 정보가 가지런히 정리된 스프레드시트들도 다량으로 발견됐다. 트위터 포스트 캐시도 있었다. 온프레미스 네트워크이건 클라우드이건, 데이터 자체를 보호하지 않으면 언젠가 이렇게 불법 접근이 허용되었을 때 얼마나 위험한지가 드러난 사건이다.
6. 다우존스(Dow Jones)
다우존스...그 유명한 다우존스도 수백만 고객들의 이름, 계정 정보, 거주지 주소, 이메일 주소, 신용카드 번호 중 마지막 네 자리를 노출시켰다. 역시 업가드의 비커리가 발견한 것으로 금융 기관들이 돈 세탁 방지를 위한 규정을 지키기 위해 사용하는 데이터베이스의 집합체인 다우존스 리스크 앤 컴플라이언스(Dow Jones Risk and Compliance)에 입력된 1백 6십만 건의 기록들도 이 노출 사고로 영향을 받았다고 한다.
당시 다우존스의 AWS S3 버킷은 “AWS 인증 사용자(AWS Authenticated User)”라면 누구나 해당 버킷의 URL을 입력함으로써 접근이 가능하고, 데이터도 다운로드 받을 수 있도록 설정되어 있었다. 아마존은 AWS 인증 사용자에 무료 AWS 계정 소유자까지 포함시키고 있기 때문에, AWS의 맛을 조금이라도 본 사람 모두가 해당되며, 따라서 해당 버킷은 1백만 명이 넘는 사람들에게 노출된 것이었다. 다우존스는 이 사건으로 2백 2십만 명의 사람들이 영향을 받았다고 보고했다. 하지만 업가드는 4백만이라고 주장했다.
7. RNC
데이터를 모으고, 분석하는 기업, 즉 데이터로 먹고 사는 기업인 딥 루트 애널리틱스(Deep Root Analytics)는 공화당전국위원회(RNC)의 협력 업체다. 그리고 무려 1억 9천 8백만 명의 유권자 정보를 AWS S3 버킷을 통해 노출시킨 업체이기도 하다. 수많은 사람들의 생년월일, 전화번호, 인종적 배경 정보, 집 주소, 우편주소, 선호하는 정당 등의 정보가 고스란히 공개된 것.
딥 루트의 저장용 버킷은 당연히 ‘비밀’로 설정되어 있어야 했지만 ‘전체 공개’로 되어 있었고, 그 결과 인터넷에 연결된 모든 사람이 해당 주소에 접속해 정보들을 열람 및 다운로드 할 수 있었다. 또한 다운로드된 파일은 비밀번호 입력과 같은 절차 없이 그냥 열어볼 수 있게 되어 있었다고 업가드는 발표했다.
이 정보가 악의적인 의도를 가진 사람들의 손에 들어갔다면 어떤 일이 벌어질 것인가? 세밀한 표적형 공격이 가능해진다고 전문가들은 입을 모은다. 이른바 마이크로타게팅(microtargeting) 공격인데, 이는 매우 위험한 공격의 형태로 평가받는다. 또한 소셜 미디어를 통한 사기, 스피어피싱 공격 등이 가능하게 된다. 이미 누군가 그런 공격을 받고 있는지도 모른다.
8. 타이거스완(TigerSwan)
구직자들의 정보를 다루고 관리하는 서드파티 벤더인 탈렌트펜(TalentPen)은 필연적으로 개인정보를 가지고 있을 수밖에 없는 회사다. 그런데 이 회사도 S3 버킷 설정을 잘못했다. 특히 보안 업체인 타이거스완에 입사하고 싶어 한 지원자들의 서류 9402건이 그대로 노출됐다. 비밀번호나 암호화 같은 보호 장치는 하나도 없었다.
또한 이 정보 속에는 기밀에 접근 가능한 인물들의 개인정보까지도 들어있었다. 그냥 기밀만이 아니라 일급기밀도 포함한다. 미국 정부기관이나 군 관련 기관 등을 포함한 특정 조직의 일급기밀을 열람할 수 있는 사람들의 운전면허증 번호, 여권번호, 사회보장번호가 노출됐으며, 과거 경력과 이력까지 죄다 공개되었으니, 이 사람들의 신변이 매우 위험해졌다는 뜻으로 해석돼 급한 통보가 전달되기도 했다.
이를 발견하고 분석한 업가드는 “타이거스완 구직자들은 대부분 미국의 전역 군인들이었다”며 “현역 시절부터 많은 기밀을 다루고, 비밀 업무를 수행해온 인물들로 전역을 했어도 사회 안전과 국가 안보를 위해서 크게 보호받아야 할 사람들”이라며, 이번 사건에 대한 안타까움을 표했다. 타이거스완 측은 절대적으로 탈렌트펜의 잘못으로 벌어진 일이라며 책임을 회피했다.
9. 타임 워너 케이블(Time Warner Cable)
미국의 타임 워너 케이블 구독자 4백만 명의 정보가 어이없이 노출된 사건이다. 크롬텍이 글로벌 통신 소프트웨어 및 서비스 제공업체인 브로드소프트(Broadsoft)가 사용하고 있는 S3 버킷 두 개가 전체 공개로 설정되어 있는 것을 발견했는데, 이 브로드소프트의 파트너사는 AT&T, 스프린트(Sprint), 보다폰(Vodafone) 그리고 타임 워너 케이블 등이다. 즉 타임 워너 케이블 역시 서드파티 파트너사에 의한 정보 유출을 겪은 것이다.
해당 버킷들에는 내부 개발 정보, SQL 데이터베이스, 접근 권한 비밀번호와 크리덴셜, 접근 로그 등이 저장되어 있었다. 한 평문 텍스트 파일에는 사용자 이름, Mac 주소, 일련번호, 계정 번호, 거래용 ID가 일목요연하게 정리되어 있기도 했다. 한 버킷에는 타임 워너 케이블 고객들의 이름과 주소, 전화번호가 저장되어 있는 데이터베이스가 버젓이 있기도 했다.
크롭텍은 두 버킷의 상태를 분석하고 “관리를 맡던 엔지니어가 특정 업무를 수행하기 위해 버킷을 공개로 설정해놨다가 업무를 마치고 설정 변경하는 걸 잊어버린 것 같다”고 말했다. 이런 경우는 굉장히 많다. 침투 테스터들도 업무를 수행하기 위해 백도어를 일부러 설치하고 그대로 놔둘 때가 있어 문제가 제기되기도 했다.
10. ES&SK
또 다시 유권자 관련 정보가 유출된 사건이다. 사실상 시카고에 거주하는 유권자의 모든 정보가 인터넷 전체에 공개된 것이 업가드의 눈에 걸렸다. 시카고 유권자의 개인정보를 관리하던 ES&SK라는 업체가 S3 버킷 설정을 허술하게 해놓아 열람은 물론 다운로드까지 가능한 상태로 유지됐다. ES&SK는 투표에 사용되는 기계와 관련 소프트웨어를 공급하는 업체다.
이 때문에 시카고 거주 주민 1백 8십만 명의 개인정보가 유출됐는데, 이름, 주소, 전화번호, 면허증번호, 일부의 사회보장번호 등이 여기에 포함됐다. 해당 S3 버킷은 2016년 대선 때 생성되고 사용되어 온 것으로 밝혀졌다. 즉, 약 이러한 정보들이 버젓이 공개된 채 1년 동안이나 아무도 몰랐다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
데이터를 맡긴다고 해서 보안까지 맡기는 건 아니라는 전문가들의 지적
[보안뉴스 문가용 기자] 2017년부터 빈번해진 현상이 하나 있다면 클라우드 환경 설정 오류로 인해 중요한 정보들이 인터넷을 통해 의도치 않게 공개되는 것이다. 특히 AWS의 심플 스토리지 서비스(Simple Storage Service, S3)에서 이런 일이 연이어 발생하고 있다. 하지만 보안 업체 레드록(RedLock)의 CEO인 바룬 바드워(Varun Badhwar)는 “심각한 사고이긴 한데, 이런 현상 자체가 놀랍지는 않다”고 말한다. 예견했던 일이라는 것이다.
[이미지 = iclickart]
레드록은 클라우드 보안 인텔리전스(Cloud Security Intelligence, CSI)라는 클라우드 연구 프로젝트를 진행하고 있는데, AWS S3 등 클라우드 서비스를 이용하는 기업들의 53%가 지난 5월부터 올해 5월까지 1년 간 공공 인터넷에 중요한 자료를 뜻하지 않게 유출시킨 적이 있다는 사실을 알아냈다. 지난 해 5월 조사에서는 이 수치가 40%로 나왔었다. 올해 유독 클라우드 사고가 많이 일어나는 것처럼 느껴지는 게 당연하다.
이는 중소기업이든 대기업이든 모두 주목해야 할 사실이다. 클라우드 기술을 가진 제3의 기업에게 민감한 정보를 모두 맡기므로 보안까지 맡긴다는 이상한 풍토가 여기서 발견되기 때문이다. 보안 업체 뷰포스트(Viewpost)의 수석 보안 책임자인 크리스 피어슨(Chris Pierson)은 “기술은 아웃소싱할 수 있지만 위험까지 누군가 맡아줄 순 없다”고 꼬집는다. 이번 주 본지 주말판에서는 ‘올해에만’ 일어난 AWS 유출 사고들을 열거했다.
1. 액센츄어(Accenture)
보안 업체 업가드(UpGuard)의 사이버 리스크 팀(Cyber Risk Team)이 발견한 사고. 액센츄어라는 다국적 컨설팅 업체가 AWS S3 버킷을 무려 네 개 이상이나 공공 인터넷에 공개되도록 설정해 민감한 데이터가 대량으로 노출됐다. 민감한 데이터라고 하면 인증 크리덴셜, 비밀 API와 관련된 정보, 디지털 인증서 다수, 복호화 키 다수, 고객 정보 등이다. 이런 정보들은 액센츄어는 물론 그 고객들까지도 위험하게 만들 수 있는 것들이다. 액센츄어의 고객들은 포춘지가 선정한 100대 기업 중 94개 기업들이며, 포춘 500대 기업의 75%를 차지하고 있다.
또한 네 개의 버킷들 모두가 서버들이었다. 그중 용량이 가장 큰 건 137GB였다. 무려 ‘서버’이기까지 하고 100GB 단위의 정보들이, 누구나 다운로드 받을 수 있게끔 되어 있었던 것. 무구라도 버킷의 웹 주소를 브라우저에 입력하기만 하면 그 자료는 다 그 사람의 것이었다. 그 중 한 폴더에서는 액센츄어의 AWS 키 관리 서비스(AWS Key Management Service)의 마스터 접근 키가 평문으로 저장되어 있기까지 했다.
업가드는 금전적으로 상상하기 힘든 피해로 이어질 수 있는 상황이라고 설명하며, “누군가 이 키를 취득해 액센츄어 직원인 척 가장해 네트워크에 침입한 후에 어떤 정보라도 취득할 수 있었다”고 말한다. 게다가 S3 버킷이 열려있는 동안 누가 들어와 어떤 데이터를 가져 갔는지 알 수 있는 방법이 없어 상황이 완전히 해제된 것도 아니다.
2. 바이어컴(Viacom)
바이어컴은 세계에서 6번째로 큰 미디어 회사로, 180억 달러의 가치를 가지고 있다. 그런데 이런 회사도 기본적인 클라우드 관리에 실패했다. 내부 데이터 접근용 크리덴셜을 비롯한 여러 치명적인 데이터를 누구나 다운로드 받을 수 있도록 AWS S3를 설정한 것이다. 이 데이터를 누군가 다운로드 받았다면 이 대형 미디어 거인의 내부 IT 인프라에 접속해 들어갈 수 있었다.
이 치명적인 실수 역시 업가드의 사이버 리스크 리서치 팀이 발견했다. 이 팀에 속한 보안 전문가 크리스 비커리(Chris Vickery)는 이 실수를 더 깊게 파고들었고, 퍼펫(Puppet)으로 운영되고 있는 마스터 서버와 바이어컴 파트너사들 및 브랜드 모두와 연결돼 있는 바이어컴 서버 관리 시스템을 구축하는 데 필요한 크리덴셜까지 추가로 찾아냈다. 바이어컴의 비밀 클라우드 키 역시 노출된 버킷 안에 들어있었다.
이 정보들을 전부 조합하면 어떤 결과가 나올까? “아무나 바이어컴의 서버, 스토리지, 데이터베이스, 몇몇 클라우드 인스턴스에 접속이 가능하다는 소리입니다. 클라우드 인스턴스 종류도 많아서, 도커(Docker), 스플렁크(Splunk), 뉴 렐릭(New Relic), 젠킨스(Jenkins)가 있었습니다.” 최근 일어난 클라우드 S3 버킷 사고가 한두 건이 아니지만, 이렇게까지 내부 사정이 자세히 드러난 예도 없었다.
3. 버라이즌(Verizon)
정확히는, 역시 세계에서 손꼽히는 통신사인 버라이즌의 서드파티 벤더인 NICE 시스템즈(NICE Systems)가 AWS S3 버킷 관리에 실수했다. 그래서 미국 버라이즌 고객들 수백만 명의 이름, 집 주소, 계정 정보, PIN 번호가 죄다 노출됐다. 이러한 실수를 발견한 것도 역시 업가드로 정확히 ‘1천 4백만 명’의 정보가 유출됐다고 세상에 알렸다. 하지만 버라이즌 측은 6백만 명이라고 조금은 다른 숫자를 내놓고 반박했다.
실수가 발견된 계정은 NICE 시스템즈의 엔지니어가 파일을 저장하기 위해 마련하고 관리했던 것으로, 특히 고객들의 통화 데이터를 기록하는 데 활용됐다고 한다. 이 계정과 통화 데이터는 관리부서와 콜센터에서 주로 사용됐다. 이 역시 업가드가 발견했는데, 업가드에 의하면 ‘통화 데이터’는 고객들의 전화번호, 관련 PIN 번호 등이었다고 한다. 이 정도 정보만 있어도 공격자가 특정 고객인 것처럼 사칭해 계정에 접근할 수 있게 된다.
이 사건은 서드파티 벤더에게 민감한 데이터를 위탁할 때 보안 문제까지도 모두 맡겨버리는 것이 얼마나 위험한 일인지 드러내는 사례로 남았다. 아직도 누가 수백만 버라이즌 고객의 민감한 정보를 우연히라도 발견해 다운로드 받았는지 알 수가 없다.
4. 부즈 앨런 해밀턴(Booz Allen Hamilton)
업가드의 연구원 비커리의 또 다른 발견으로, 첩보 및 방산 분야의 대기업인 부즈 앨런 해밀턴이 소유한 S3 버킷이 공공 인터넷을 통해 접근 가능한 상태로 설정되어 있었고, 거기엔 약 6만 개의 파일이 저장되어 있었다. 총 용량은 28GB였으며 수석 엔지니어들의 크리덴셜, 미국 정부 기관 시스템으로의 비밀번호, 일급기밀 접근 권한을 가진 정부 상대 업자들의 비밀번호들이 담겨 있었다. 일부는 심지어 암호화가 되어 있지도 않았다.
이 파일들에는 미국의 국립지리정보국(NGA)에 대한 언급들도 제법 존재했다. NGA는 전투를 지원하는 곳으로, CIA 등의 정부 기관과 협력하여 특정 지역과 관련된 데이터를 모으고 스파이 위성과 드론을 운영한다. 또한 데이터센터 운영 시스템의 마스터 크리덴셜도 있었고, 심지어 국방부 시스템에 접근할 수 있게 해주는 크리덴셜도 있었다.
“국가 안보와 관련된 다양한 시설, 기관, 정보에 접근할 수 있게 해주는 엄청난 데이터들이었습니다. 그 누구도 가지지 못한 정보들이었고, 그러므로 누구나 원하는 정보들이었죠. 게다가 미국의 국방은 모두의 관심사 아니겠습니까? 그런 정보가 대형 국방 기업에 의해 친절하게 비밀번호까지 다 풀려서 공개된 겁니다.” 이는 해당 사건을 접한 민주당 최고의원인 클레어 맥카스킬(Claire McCaskill)의 일갈이다.
5. WWE
지난 7월, 보안 업체 크롬텍(Kromtech)의 보안 전문가들이 세계 레슬링 엔터테인먼트(WWE)가 보유한 정보가 대량으로 노출되어 있는 걸 발견했다. AWS S3 버킷에 저장된 이 데이터에는 최소한의 ID-비밀번호 보호도 되어 있지 않았고, 그 상태로 인터넷 사용이 가능한 누구에게나 열려 있었다.
이 때 발견된 AWS S3 버킷은 정확히 두 개였고, 여기에 들어있는 정보 중 약 12%가 대중에게 공개된 상태로 설정되어 있다. 첫 번째 버킷에는 2014~2015년에 등록된 고객들의 민감한 정보가 보호되지 않은 채 저장되어 있었다. 거기에는 이름, 거주지 주소, 이메일 주소, 생년월일, 교육적 배경, 나이, 인종, 자녀 연령 및 성별 주소가 아주 자세하게 기록되어 있었다고 한다. 총 3,065,805 건의 기록이 저장되어 있었다.
두 번째 버킷은 어땠을까? 여기에도 다양한 정보가 저장되어 있었다. 2016년부터 등록된 유럽 고객들의 정보가 대부분이었고, 각종 비용 처리 관련 정보가 특히 많았다. 사용자 이름과 청구서가 발송되는 주소는 물론 WWE의 소셜 미디어 채널 및 계정 정보가 가지런히 정리된 스프레드시트들도 다량으로 발견됐다. 트위터 포스트 캐시도 있었다. 온프레미스 네트워크이건 클라우드이건, 데이터 자체를 보호하지 않으면 언젠가 이렇게 불법 접근이 허용되었을 때 얼마나 위험한지가 드러난 사건이다.
6. 다우존스(Dow Jones)
다우존스...그 유명한 다우존스도 수백만 고객들의 이름, 계정 정보, 거주지 주소, 이메일 주소, 신용카드 번호 중 마지막 네 자리를 노출시켰다. 역시 업가드의 비커리가 발견한 것으로 금융 기관들이 돈 세탁 방지를 위한 규정을 지키기 위해 사용하는 데이터베이스의 집합체인 다우존스 리스크 앤 컴플라이언스(Dow Jones Risk and Compliance)에 입력된 1백 6십만 건의 기록들도 이 노출 사고로 영향을 받았다고 한다.
당시 다우존스의 AWS S3 버킷은 “AWS 인증 사용자(AWS Authenticated User)”라면 누구나 해당 버킷의 URL을 입력함으로써 접근이 가능하고, 데이터도 다운로드 받을 수 있도록 설정되어 있었다. 아마존은 AWS 인증 사용자에 무료 AWS 계정 소유자까지 포함시키고 있기 때문에, AWS의 맛을 조금이라도 본 사람 모두가 해당되며, 따라서 해당 버킷은 1백만 명이 넘는 사람들에게 노출된 것이었다. 다우존스는 이 사건으로 2백 2십만 명의 사람들이 영향을 받았다고 보고했다. 하지만 업가드는 4백만이라고 주장했다.
7. RNC
데이터를 모으고, 분석하는 기업, 즉 데이터로 먹고 사는 기업인 딥 루트 애널리틱스(Deep Root Analytics)는 공화당전국위원회(RNC)의 협력 업체다. 그리고 무려 1억 9천 8백만 명의 유권자 정보를 AWS S3 버킷을 통해 노출시킨 업체이기도 하다. 수많은 사람들의 생년월일, 전화번호, 인종적 배경 정보, 집 주소, 우편주소, 선호하는 정당 등의 정보가 고스란히 공개된 것.
딥 루트의 저장용 버킷은 당연히 ‘비밀’로 설정되어 있어야 했지만 ‘전체 공개’로 되어 있었고, 그 결과 인터넷에 연결된 모든 사람이 해당 주소에 접속해 정보들을 열람 및 다운로드 할 수 있었다. 또한 다운로드된 파일은 비밀번호 입력과 같은 절차 없이 그냥 열어볼 수 있게 되어 있었다고 업가드는 발표했다.
이 정보가 악의적인 의도를 가진 사람들의 손에 들어갔다면 어떤 일이 벌어질 것인가? 세밀한 표적형 공격이 가능해진다고 전문가들은 입을 모은다. 이른바 마이크로타게팅(microtargeting) 공격인데, 이는 매우 위험한 공격의 형태로 평가받는다. 또한 소셜 미디어를 통한 사기, 스피어피싱 공격 등이 가능하게 된다. 이미 누군가 그런 공격을 받고 있는지도 모른다.
8. 타이거스완(TigerSwan)
구직자들의 정보를 다루고 관리하는 서드파티 벤더인 탈렌트펜(TalentPen)은 필연적으로 개인정보를 가지고 있을 수밖에 없는 회사다. 그런데 이 회사도 S3 버킷 설정을 잘못했다. 특히 보안 업체인 타이거스완에 입사하고 싶어 한 지원자들의 서류 9402건이 그대로 노출됐다. 비밀번호나 암호화 같은 보호 장치는 하나도 없었다.
또한 이 정보 속에는 기밀에 접근 가능한 인물들의 개인정보까지도 들어있었다. 그냥 기밀만이 아니라 일급기밀도 포함한다. 미국 정부기관이나 군 관련 기관 등을 포함한 특정 조직의 일급기밀을 열람할 수 있는 사람들의 운전면허증 번호, 여권번호, 사회보장번호가 노출됐으며, 과거 경력과 이력까지 죄다 공개되었으니, 이 사람들의 신변이 매우 위험해졌다는 뜻으로 해석돼 급한 통보가 전달되기도 했다.
이를 발견하고 분석한 업가드는 “타이거스완 구직자들은 대부분 미국의 전역 군인들이었다”며 “현역 시절부터 많은 기밀을 다루고, 비밀 업무를 수행해온 인물들로 전역을 했어도 사회 안전과 국가 안보를 위해서 크게 보호받아야 할 사람들”이라며, 이번 사건에 대한 안타까움을 표했다. 타이거스완 측은 절대적으로 탈렌트펜의 잘못으로 벌어진 일이라며 책임을 회피했다.
9. 타임 워너 케이블(Time Warner Cable)
미국의 타임 워너 케이블 구독자 4백만 명의 정보가 어이없이 노출된 사건이다. 크롬텍이 글로벌 통신 소프트웨어 및 서비스 제공업체인 브로드소프트(Broadsoft)가 사용하고 있는 S3 버킷 두 개가 전체 공개로 설정되어 있는 것을 발견했는데, 이 브로드소프트의 파트너사는 AT&T, 스프린트(Sprint), 보다폰(Vodafone) 그리고 타임 워너 케이블 등이다. 즉 타임 워너 케이블 역시 서드파티 파트너사에 의한 정보 유출을 겪은 것이다.
해당 버킷들에는 내부 개발 정보, SQL 데이터베이스, 접근 권한 비밀번호와 크리덴셜, 접근 로그 등이 저장되어 있었다. 한 평문 텍스트 파일에는 사용자 이름, Mac 주소, 일련번호, 계정 번호, 거래용 ID가 일목요연하게 정리되어 있기도 했다. 한 버킷에는 타임 워너 케이블 고객들의 이름과 주소, 전화번호가 저장되어 있는 데이터베이스가 버젓이 있기도 했다.
크롭텍은 두 버킷의 상태를 분석하고 “관리를 맡던 엔지니어가 특정 업무를 수행하기 위해 버킷을 공개로 설정해놨다가 업무를 마치고 설정 변경하는 걸 잊어버린 것 같다”고 말했다. 이런 경우는 굉장히 많다. 침투 테스터들도 업무를 수행하기 위해 백도어를 일부러 설치하고 그대로 놔둘 때가 있어 문제가 제기되기도 했다.
10. ES&SK
또 다시 유권자 관련 정보가 유출된 사건이다. 사실상 시카고에 거주하는 유권자의 모든 정보가 인터넷 전체에 공개된 것이 업가드의 눈에 걸렸다. 시카고 유권자의 개인정보를 관리하던 ES&SK라는 업체가 S3 버킷 설정을 허술하게 해놓아 열람은 물론 다운로드까지 가능한 상태로 유지됐다. ES&SK는 투표에 사용되는 기계와 관련 소프트웨어를 공급하는 업체다.
이 때문에 시카고 거주 주민 1백 8십만 명의 개인정보가 유출됐는데, 이름, 주소, 전화번호, 면허증번호, 일부의 사회보장번호 등이 여기에 포함됐다. 해당 S3 버킷은 2016년 대선 때 생성되고 사용되어 온 것으로 밝혀졌다. 즉, 약 이러한 정보들이 버젓이 공개된 채 1년 동안이나 아무도 몰랐다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
