에콰도르 전 국민의 개인정보 노출된 경악스러운 사건
전문가들, “애초에 존재 자체가 의문스러운 DB”...각종 권고 사항 나오기도
[보안뉴스 문가용 기자] VPN 전문 업체 vpn멘토(vpnMentor)가 이번 주 에콰도르 전 국민의 개인정보가 담겨있는 데이터베이스를 발견하는 사상 초유의 일이 발생했다. 엘라스틱서치(ElasticSearch) 기반 데이터베이스가 비밀번호 설정도 없이 인터넷에 고스란히 노출되어 있었고, 여기에는 2천만 명의 정보가 저장되어 있었다. 에콰도르의 인구는 1천 6백만이다.
[이미지 = iclickart]
이 정보들은 미국 플로리다 주 마이애미에 있는 서버에 저장되어 있었다. 소유자는 에콰도르의 컨설팅 업체인 노바에스트라(Novaestrat)였다. 현재 노바에스트라는 각종 무더기 고소를 당하고 있는 것으로 알려져 있다. ‘사상 초유’라는 표현이 아깝지 않은 사건이고, 여러 보안 전문가들이 이에 대한 의견을 피력하고 나섰다.
“클라우드 컴퓨팅의 접근성과 확장성은 실로 대단한 강점이다. 하지만 클라우드 관리자들 편에서의 실수가 너무나 잦다. 아직 클라우드라는 환경에서 작업이 이뤄지고 있다는 자각이 없든가, 클라우드를 잘 이해하지 못하고 있는 것으로 보인다. 완벽한 사람도 없고, 완벽한 시스템도 없다. 클라우드가 아무리 신기술이고, 대형 기업이 서비스를 제공한다고 해도, 데이터 보호까지 저절로, 완벽하게 이뤄지는 건 아니다. 데이터 보안의 가장 으뜸이 되는 규칙은, 데이터를 갖지 않는 것이다. 특히나 사적인 정보라면 얼른 사용하고 지우는 게 가장 안전하다. 또한 이번 사건은 과거의 에퀴팩스(Equifax) 사건을 떠올리게 한다. 인간의 학습하는 능력이란 건, 우리 생각보다 떨어져 있는 것이 분명하다.”
벡트라(Vectra)의 분석 책임자, 크리스 모랄레스(Chris Morales)
“엘라스틱서치와 같은 노출된 형태의 DB는 현재 데이터 유출을 유발하는 가장 큰 요인이다. 관리자의 설정 실수로 중요한 정보가 새나가는 일은 도저히 멈출 기미를 보이지 않고 있다. 올해만 해도 이런 식으로 노출된 파일이 작년보다 7억 5천만 개가 늘어났다고 한다. 대부분 기술의 원 제공자가 의도하지 않은 기능이나 설정이, 구축 단계에서 추가되면서 이런 일이 발생한다. 그러므로 가장 중요한 디지털 자신이 저장되어 있는 환경에 대한 지속적인 모니터링과 점검은 필수다. 그나마 에콰도르 DB 사건에서 아직까지 실제 공격과 익스플로잇의 정황이 없다는 게 다행이다.”
디지털 셰도우즈(Digital Shadows)의 전략 분석가, 해리슨 반 리퍼(Harrison Van Riper)
“경악스러운 소식이다. 수많은 사람들과 아동들이 앞으로 신분 탈취를 비롯한 각종 사기 범죄에 노출될 것이다. 물리적 피격을 당하는 이들이 나올 가능성도 높게 보고 있다. 누군가를 표적 삼아 빈 집을 턴다거나, 취약한 시간대에 쳐들어가 누군가를 납치하는 것도 가능하다. 이런 개인정보가 노출되는 것에 대해 우리는 너무 ‘사이버 공간’ 안에서만 생각한다. 하지만 에콰도르 사건에서처럼 상세한 정보가 새나갈 경우라면, 물리적 여파도 반드시 고려해야 한다. 게다가 요 몇 년 전부터 기승을 부리고 있는 BEC(비즈니스 이메일 침해) 공격에 새로운 연료가 들어간 것이나 다름이 없기도 하다. 앞으로 에콰도르 기업들은 대단히 그럴듯한 스피어피싱에 계속 찔림을 당할 것이다. DMARC와 같은 강력한 이메일 보안 장치가 필요하다.”
발리메일(Valimail)의 CEO, 알렉산더 가르시아 토바(Alexander Garcia-Tobar)
“그리 놀랄 일도 아니다. 클라우드 러시는 지금도 이어지고 있는 현상이고, 그러면서 이해도가 부족한 사람들이 자꾸만 정보를 외부로 노출시키고 있는데, 이 역시 예상된 수순이다. 클라우드의 좋은 점에만 취한 사람들이 보안에 대해 알아볼 생각도 하지 않는데 아무런 사고가 없을 거라고 예상하는 게 더 이상한 거다. 클라우드로 이전할 때 가장 먼저 생각해야 할 건 생산성이나 가용성이 아니라 보안성이다. 그러므로 클라우드 환경 자체가 안전한지도 챙겨야 하지만, 관리자가 올바른 보안 절차와 개념을 가지고 있는지도 살펴야 한다. 또한 조직 차원에서 주기적으로 클라우드와 데이터의 상태를 점검하는 것도 필요하다.”
트러스트웨이브(Trustwave)의 EMEA 국장, 에드 윌리엄즈(Ed Williams)
“일반적으로 보안은 굉장히 귀찮은 일이고, 그래서 간과되고 일이 터진다. 아직도 이 틀에서 우린 못 벗어나고 있다는 게 이번 사건으로 드러났다. 우리는 여전히 아이디와 비밀번호를 입력해 로그인 하는 걸 귀찮게 여기고, 이걸 한 번 더 하게 하는 이중인증은 더더욱 불필요하게 생각한다. 매주 서버 설정 사고가 뉴스에 보도되는데도 마찬가지다. 이제는 이중인증 과정이 귀찮지 않도록 하는 방법을 연구할 때가 됐다. 지금의 방법을 유지하면서 아무리 설득해봐야 사용자들은 듣지 않을 것이다. 유저프렌들리 개념이 아직 보안에 너무 부족하다.”
원 아이덴티티(One Identity)의 IAM 전문가, 토드 피터슨(Todd Peterson)
“디지털 경제 시대에는 ‘신원’이야 말로 진정한 화폐다. 디지털 경제가 커질수록 이 화폐의 중요도가 커지고, 그렇기 때문에 신원과 관련된 사기가 증가할 수밖에 없다. 이런 때 개인정보 유출 사고란, 결국 화폐가 공짜로 풀린 것이나 다름이 없다. 이 화폐를 적극적으로 활용하려는 사업 시도, 즉 각종 사기 범죄가 증가할 것이라는 건 익히 예상이 가능하다. 이런 신원 도용 사기는 사실 실제 피해자가 자신의 피해를 인지하고 신고해야만 끝이 난다. 범죄자들이 뒤에서 들키지 않을 정도로만 범죄를 이어간다면 꽤나 꾸준하고 지속적으로 공격할 수 있다는 뜻이다. 에콰도르 사건의 경우 수많은 아동들이 피해를 입었다. 이들은 자신의 신원이 도용되고 있다는 걸 확인하기 힘든 부류다. 사기꾼들에게 더없이 좋은 기회가 열렸다. 이 다음이 어떤 나라가 될 지만 모를 뿐, 이 사건이 반복될 것이라는 걸 우린 다 알고 있다.”
아르코스 랩스(Arkose Labs)의 CEO, 케빈 고스초크(Kevin Gosschalk)
“회사가 고객 전체의 데이터를 실수로 유출시키는 사례는 많이 봤어도, 한 나라의 전 국민이 한꺼번에 피해를 입은 사례는 처음이다. 클라우드 환경에서 일어나는 설정 오류는 굉장히 흔한 일이다. 심지어 막을 수 없다는 의견들도 존재하는 것으로 알고 있다. 하지만 환경설정 문제는 효과적으로 방어하는 게 가능하다. 데이터베이스의 설정 상태를 점검해주는 자동화 클라우드 보안 솔루션들이 있기 때문이다. 처음부터 이런 솔루션들을 알아보고 투자하는 게, 일개 담당자의 실수로 돌이킬 수 없는 실수를 저지르는 것보다 낫다. 작은 투자가 큰 차이를 만든다는 걸 왜 그리 이해하지 못하는가.”
다이비클라우드(DivvyCloud)의 CTO, 크리스 드라무스(Chris DeRamus)
“이런 DB는 처음부터 존재하면 안 됐다. 권한이 있는 사람들, 정상적으로 로그인해서 들어갈 수 있는 사람들만 접속한다고 해도, 이런 DB는 존재 그 자체가 문제다. 그리고 그런 폭탄과 같은 DB를 인터넷에 연결할 생각을 했다는 것이 두 번째 문제다. 설정을 제대로 하든 말든, 일단 이런 DB를 어떻게 공공 인터넷에 연결할 생각을 했는지, 도무지 이해할 수가 없다. 이 두 가지 큰 사고를 치고도 환경설정을 신경 쓰지 않았다는 건, 어떤 말로 표현해야 할지 감도 오지 않는다. 데이터에 대한 감각이 아무리 사람마다 다르다지만, 이번 건은 너무했다.”
아웃포스트24(Outpost24)의 보안 관리자인 휴고 반 덴 투른(Hugo van den Toorn)
“데이터 유출 사고에 무감각해져서는 안 된다. 조직의 명성이 떨어지는 것도 문제지만, 개개인에게 돌아가는 피해가 너무나 크다. 개인정보는 대단히 조심스럽고 꼼꼼하게 다뤄야 한다. 그 어떤 경우에도 개인정보가 일반 인터넷에 노출되어서는 안 되고, 여기에는 변명의 여지가 없다. 실수가 전혀 용납되어서는 안 되는 부분이라는 것이다. 왜냐하면, 이런 종류의 사고는 절대로 돌이킬 수 없기 때문이다. 또 하나 중요한 건 망분리다. 망분리는 내부 인프라의 완전 노출을 방지한다. 하지만 이번 사건을 통해 나오는 각종 권장 사항들이 또 휴지조각처럼 버려질 것이 눈에 선하다. 그래도 말하고 또 말하는 것이 우리의 임무겠지만.”
화이트햇 시큐리티(WhiteHat Security)의 앱 보안 전문가, 오스카 토바(Oscar Tovar)
[국제부 문가용 기자(globoan@boannews.com)]
전문가들, “애초에 존재 자체가 의문스러운 DB”...각종 권고 사항 나오기도
[보안뉴스 문가용 기자] VPN 전문 업체 vpn멘토(vpnMentor)가 이번 주 에콰도르 전 국민의 개인정보가 담겨있는 데이터베이스를 발견하는 사상 초유의 일이 발생했다. 엘라스틱서치(ElasticSearch) 기반 데이터베이스가 비밀번호 설정도 없이 인터넷에 고스란히 노출되어 있었고, 여기에는 2천만 명의 정보가 저장되어 있었다. 에콰도르의 인구는 1천 6백만이다.
[이미지 = iclickart]
이 정보들은 미국 플로리다 주 마이애미에 있는 서버에 저장되어 있었다. 소유자는 에콰도르의 컨설팅 업체인 노바에스트라(Novaestrat)였다. 현재 노바에스트라는 각종 무더기 고소를 당하고 있는 것으로 알려져 있다. ‘사상 초유’라는 표현이 아깝지 않은 사건이고, 여러 보안 전문가들이 이에 대한 의견을 피력하고 나섰다.
“클라우드 컴퓨팅의 접근성과 확장성은 실로 대단한 강점이다. 하지만 클라우드 관리자들 편에서의 실수가 너무나 잦다. 아직 클라우드라는 환경에서 작업이 이뤄지고 있다는 자각이 없든가, 클라우드를 잘 이해하지 못하고 있는 것으로 보인다. 완벽한 사람도 없고, 완벽한 시스템도 없다. 클라우드가 아무리 신기술이고, 대형 기업이 서비스를 제공한다고 해도, 데이터 보호까지 저절로, 완벽하게 이뤄지는 건 아니다. 데이터 보안의 가장 으뜸이 되는 규칙은, 데이터를 갖지 않는 것이다. 특히나 사적인 정보라면 얼른 사용하고 지우는 게 가장 안전하다. 또한 이번 사건은 과거의 에퀴팩스(Equifax) 사건을 떠올리게 한다. 인간의 학습하는 능력이란 건, 우리 생각보다 떨어져 있는 것이 분명하다.”
벡트라(Vectra)의 분석 책임자, 크리스 모랄레스(Chris Morales)
“엘라스틱서치와 같은 노출된 형태의 DB는 현재 데이터 유출을 유발하는 가장 큰 요인이다. 관리자의 설정 실수로 중요한 정보가 새나가는 일은 도저히 멈출 기미를 보이지 않고 있다. 올해만 해도 이런 식으로 노출된 파일이 작년보다 7억 5천만 개가 늘어났다고 한다. 대부분 기술의 원 제공자가 의도하지 않은 기능이나 설정이, 구축 단계에서 추가되면서 이런 일이 발생한다. 그러므로 가장 중요한 디지털 자신이 저장되어 있는 환경에 대한 지속적인 모니터링과 점검은 필수다. 그나마 에콰도르 DB 사건에서 아직까지 실제 공격과 익스플로잇의 정황이 없다는 게 다행이다.”
디지털 셰도우즈(Digital Shadows)의 전략 분석가, 해리슨 반 리퍼(Harrison Van Riper)
“경악스러운 소식이다. 수많은 사람들과 아동들이 앞으로 신분 탈취를 비롯한 각종 사기 범죄에 노출될 것이다. 물리적 피격을 당하는 이들이 나올 가능성도 높게 보고 있다. 누군가를 표적 삼아 빈 집을 턴다거나, 취약한 시간대에 쳐들어가 누군가를 납치하는 것도 가능하다. 이런 개인정보가 노출되는 것에 대해 우리는 너무 ‘사이버 공간’ 안에서만 생각한다. 하지만 에콰도르 사건에서처럼 상세한 정보가 새나갈 경우라면, 물리적 여파도 반드시 고려해야 한다. 게다가 요 몇 년 전부터 기승을 부리고 있는 BEC(비즈니스 이메일 침해) 공격에 새로운 연료가 들어간 것이나 다름이 없기도 하다. 앞으로 에콰도르 기업들은 대단히 그럴듯한 스피어피싱에 계속 찔림을 당할 것이다. DMARC와 같은 강력한 이메일 보안 장치가 필요하다.”
발리메일(Valimail)의 CEO, 알렉산더 가르시아 토바(Alexander Garcia-Tobar)
“그리 놀랄 일도 아니다. 클라우드 러시는 지금도 이어지고 있는 현상이고, 그러면서 이해도가 부족한 사람들이 자꾸만 정보를 외부로 노출시키고 있는데, 이 역시 예상된 수순이다. 클라우드의 좋은 점에만 취한 사람들이 보안에 대해 알아볼 생각도 하지 않는데 아무런 사고가 없을 거라고 예상하는 게 더 이상한 거다. 클라우드로 이전할 때 가장 먼저 생각해야 할 건 생산성이나 가용성이 아니라 보안성이다. 그러므로 클라우드 환경 자체가 안전한지도 챙겨야 하지만, 관리자가 올바른 보안 절차와 개념을 가지고 있는지도 살펴야 한다. 또한 조직 차원에서 주기적으로 클라우드와 데이터의 상태를 점검하는 것도 필요하다.”
트러스트웨이브(Trustwave)의 EMEA 국장, 에드 윌리엄즈(Ed Williams)
“일반적으로 보안은 굉장히 귀찮은 일이고, 그래서 간과되고 일이 터진다. 아직도 이 틀에서 우린 못 벗어나고 있다는 게 이번 사건으로 드러났다. 우리는 여전히 아이디와 비밀번호를 입력해 로그인 하는 걸 귀찮게 여기고, 이걸 한 번 더 하게 하는 이중인증은 더더욱 불필요하게 생각한다. 매주 서버 설정 사고가 뉴스에 보도되는데도 마찬가지다. 이제는 이중인증 과정이 귀찮지 않도록 하는 방법을 연구할 때가 됐다. 지금의 방법을 유지하면서 아무리 설득해봐야 사용자들은 듣지 않을 것이다. 유저프렌들리 개념이 아직 보안에 너무 부족하다.”
원 아이덴티티(One Identity)의 IAM 전문가, 토드 피터슨(Todd Peterson)
“디지털 경제 시대에는 ‘신원’이야 말로 진정한 화폐다. 디지털 경제가 커질수록 이 화폐의 중요도가 커지고, 그렇기 때문에 신원과 관련된 사기가 증가할 수밖에 없다. 이런 때 개인정보 유출 사고란, 결국 화폐가 공짜로 풀린 것이나 다름이 없다. 이 화폐를 적극적으로 활용하려는 사업 시도, 즉 각종 사기 범죄가 증가할 것이라는 건 익히 예상이 가능하다. 이런 신원 도용 사기는 사실 실제 피해자가 자신의 피해를 인지하고 신고해야만 끝이 난다. 범죄자들이 뒤에서 들키지 않을 정도로만 범죄를 이어간다면 꽤나 꾸준하고 지속적으로 공격할 수 있다는 뜻이다. 에콰도르 사건의 경우 수많은 아동들이 피해를 입었다. 이들은 자신의 신원이 도용되고 있다는 걸 확인하기 힘든 부류다. 사기꾼들에게 더없이 좋은 기회가 열렸다. 이 다음이 어떤 나라가 될 지만 모를 뿐, 이 사건이 반복될 것이라는 걸 우린 다 알고 있다.”
아르코스 랩스(Arkose Labs)의 CEO, 케빈 고스초크(Kevin Gosschalk)
“회사가 고객 전체의 데이터를 실수로 유출시키는 사례는 많이 봤어도, 한 나라의 전 국민이 한꺼번에 피해를 입은 사례는 처음이다. 클라우드 환경에서 일어나는 설정 오류는 굉장히 흔한 일이다. 심지어 막을 수 없다는 의견들도 존재하는 것으로 알고 있다. 하지만 환경설정 문제는 효과적으로 방어하는 게 가능하다. 데이터베이스의 설정 상태를 점검해주는 자동화 클라우드 보안 솔루션들이 있기 때문이다. 처음부터 이런 솔루션들을 알아보고 투자하는 게, 일개 담당자의 실수로 돌이킬 수 없는 실수를 저지르는 것보다 낫다. 작은 투자가 큰 차이를 만든다는 걸 왜 그리 이해하지 못하는가.”
다이비클라우드(DivvyCloud)의 CTO, 크리스 드라무스(Chris DeRamus)
“이런 DB는 처음부터 존재하면 안 됐다. 권한이 있는 사람들, 정상적으로 로그인해서 들어갈 수 있는 사람들만 접속한다고 해도, 이런 DB는 존재 그 자체가 문제다. 그리고 그런 폭탄과 같은 DB를 인터넷에 연결할 생각을 했다는 것이 두 번째 문제다. 설정을 제대로 하든 말든, 일단 이런 DB를 어떻게 공공 인터넷에 연결할 생각을 했는지, 도무지 이해할 수가 없다. 이 두 가지 큰 사고를 치고도 환경설정을 신경 쓰지 않았다는 건, 어떤 말로 표현해야 할지 감도 오지 않는다. 데이터에 대한 감각이 아무리 사람마다 다르다지만, 이번 건은 너무했다.”
아웃포스트24(Outpost24)의 보안 관리자인 휴고 반 덴 투른(Hugo van den Toorn)
“데이터 유출 사고에 무감각해져서는 안 된다. 조직의 명성이 떨어지는 것도 문제지만, 개개인에게 돌아가는 피해가 너무나 크다. 개인정보는 대단히 조심스럽고 꼼꼼하게 다뤄야 한다. 그 어떤 경우에도 개인정보가 일반 인터넷에 노출되어서는 안 되고, 여기에는 변명의 여지가 없다. 실수가 전혀 용납되어서는 안 되는 부분이라는 것이다. 왜냐하면, 이런 종류의 사고는 절대로 돌이킬 수 없기 때문이다. 또 하나 중요한 건 망분리다. 망분리는 내부 인프라의 완전 노출을 방지한다. 하지만 이번 사건을 통해 나오는 각종 권장 사항들이 또 휴지조각처럼 버려질 것이 눈에 선하다. 그래도 말하고 또 말하는 것이 우리의 임무겠지만.”
화이트햇 시큐리티(WhiteHat Security)의 앱 보안 전문가, 오스카 토바(Oscar Tovar)
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
