모바일 애플리케이션과 연결된 데이터 저장소가 비밀번호도 없이 노출되어 있는 경우가 많아도 너무 많다는 조사 결과가 발표됐다. 클라우드 도입이 너무나 빠르게 진행되고 있어 사용자들이 익숙해질 새가 없었기 때문이다. 장점만큼 단점도 있다는 걸 잠깐 쉬어가며 생각할 차례다.

[보안뉴스 문가용 기자] 공개된 파이어베이스(Firebase) 데이터베이스를 간단히 검색했더니 2100개가 넘는 모바일 에플리케이션용 데이터저장소가 있는 그대로 노출되어 있다는 사실이 발견됐다. 이를 통해 기업의 민감한 정보인 은행 잔액, 가족 사진, 건강 관련 정보 등을 손쉽게 구할 수 있는 것으로 나타났다. 이러한 상황에 대해 보안 업체 체크포인트(Check Point)가 발표했다.


이 조사에서 문제가 되는 것으로 분석된 애플리케이션들의 종류는 1만 번도 다운로드 되지 않은 데이팅 앱에서부터 1천만 번 이상 설치된 유명 백화점 체인 앱까지 매우 다양했다. 이 유명 백화점 체인의 앱의 경우 API 게이트웨이 크리덴셜과 키 정보를 노출시키고 있었다. 그 외에 GPS 위치 정보, 사용자 심장 박동 수 등과 같은 건강 정보 등도 데이터베이스에 포함되어 있었다.

많은 개발자들과 기업들이 클라우드 네이티브 기술들을 도입하는 추세다. “하지만 이러한 최신 근황을 보안은 쫓아가지 못하고 있습니다. 클라우드로 이주하는 이유가 주로 생산성 향상인데, 생산성에 지나치게 초점을 맞추다 보니 보안은 우선순위에서 뒤로 밀리는 것이죠.” 체크포인트의 위협 첩보 수장인 로템 핑켈스틴(Lotem Finkelsteen)의 설명이다. “그래서 온프레미스 개발 환경에 익숙한 개발자들은 클라우드의 각종 보안 사항들을 잊어버립니다.”

모바일 애플리케이션이 자유롭게 접근할 수 있도록 만들어진 데이터베이스 백엔드나 클라우드 서비스에서 정보가 보호되지 않은 채 노출되어 있는 사례는 꽤나 흔히 발견된다. AWS S3 버킷에서 수천만 건의 개인정보가 비밀번호도 없이 호스팅 되어 있기도 하고, 몽고DB 인스턴스 수백만 개가 노출되어 있기도 한다. 클라우드의 설정 오류는 지난 수년 동안 가장 큰 데이터 침해 사고의 원인이 되어 왔다.

보안 업체들이라고 해서 이러한 사건 사고에서 완전히 자유로운 건 아니다. 3월 초 보안 업체 리포지파이(Reposify)는 35개 주요 보안 업체의 네트워크들을 스캔했는데, 86%가 최소 한 개 이상의 민감한 원격 접근 서비스를 인터넷을 통해 노출시키고 있었다. 네트워크 자산들이 노출되는 경우도 80%였다. 데이터베이스 전체를 노출시키고 있던 기업도 51%였는데, 이 중 72%가 PostrgreSQL 데이터베이스, 50%가 오라클DB, 28%가 MySQL, 21%rk MSSQL이었다.

“데이터베이스는 현대의 보물 창고입니다. 공격자들이 여기서 빼가는 정보 중 일부는 보물 이상의 가치를 가지고 있기도 하고요.” 리포지파이의 보안 연구 책임자인 도르 레비(Dor Levy)의 설명이다. “하지만 아직 데이터를 보물로 보지 못하는 사례들이 많은 듯합니다. 데이터베이스의 중요성을 정말로 안다면 클라우드 설정이 아무리 어려워도 지금처럼 설정을 잊거나 하지는 않겠죠.”

체크포인트는 간단한 검색과 조사를 통해 누구나 접속할 수 있는 상태로 유지되고 있거나 접속 크리덴셜이 노출된 파이어베이스 데이터베이스들 2113개를 찾아낼 수 있었다. 파이어베이스는 구글에서 제공되는 서비스로 관리와 통합이 쉬운 모바일 애플리케이션용 백엔드라고 볼 수 있다. “가치가 높은 데이터셋을 너무나 쉽게 열람할 수 있었습니다. 누구나 저희처럼 검색만 할 줄 알면 클라우드 백엔드의 주소를 획득하고, 이를 통해 정보에 접근하는 게 가능했거든요. 저희가 보안 전문 업체라서 할 수 있었던 일이 아닙니다. 누구라도 할 수 있는 일입니다. 이런 상태로 클라우드 생태계가 확장되기만 하니 데이터를 보호해야 하는 입장에선 미칠 노릇입니다.” 핑켈스틴의 말이다.

데이터베이스를 그대로 노출시킨다는 건 민감한 정보가 외부로 새나갈 수 있다는 뜻만은 아니다. 데이터베이스에서의 ‘쓰기’가 가능한 경우가 많기 때문에 공격자들은 데이터를 조작할 수 있기도 하다. 즉 백엔드와 연결된 사용자 자비에 악성 콘텐츠를 삽입하거나, 데이터베이스 전체를 암호화 함으로써 랜섬웨어 공격과 비슷한 협박 공격을 실시할 수 있게 된다는 것이다. 레비는 “데이터 침해 사고의 70%가 설정 오류로부터 비롯된다”며 “우리가 쓸 수 있는 도구들은 공격자들도 쓸 수 있다는 걸 명심해야 한다”고 강조했다.

핑클스틴은 “클라우드 관련 기술이 너무나 빠르게 발전하고 있어 개발자들이 속도를 잘 못 맞추고 있다”며 “이 때문에 설정 오류와 같은 실수들이 나오는 것”이라고 말한다. “클라우드만이 아니라 모든 신기술에는 장점과 단점 모두가 공존합니다. 보통 신기술을 도입할 때 장점에만 주목하는 경우가 많은데, 보안 담당자들이라면 단점도 이해할 수 있어야 하고, 이걸 개발자들에게 설명할 수 있어야 합니다. 그것이야 말로 새로운 기술의 진정한 촉진이라고 볼 수 있습니다.”

체크포인트는 개발자들에게 다음과 같은 조치를 권장하고 있다. “AWS에서 사용자들은 S3 버킷이 외부에 노출되지 않도록 설정해야 하고, 구글의 GCP 사용자들이라면 클라우드 스토리지 DB(Cloud Storage DB)에 대한 공공 혹은 비승인 접근을 차단해야 합니다. MS 애저 사용자들이라면 스토리지 계정(Storage Accounts)의 디폴트 접근 옵션을 ‘부정(Deny)’로 바꿔놓는 것이 좋습니다.”

3줄 요약
1. 클라우드와 백엔드가 고스란히 노출된 경우가 너무 많음.
2. 민감한 정보가 아무런 보안 장치 없이, 누구나 접근 가능한 상태로 유지되어 있어 침해도 쉬움.
3. 클라우드 사용하는 개발자들이라면 습관처럼 가지고 있어야 할 설정 옵션들이 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>