다크웹 크리덴셜 어디까지 사용 가능한가...DB 계약 맺은 양방의 의견 서로 달라

요약 : IT 외신 레지스터에 의하면 홀드시큐리티(Hold Security)라는 보안 업체가 MS를 고소했다고 한다. 홀드시큐리티는 보안 첩보를 전문으로 하는 회사로 다크웹을 스캔해 크리덴셜을 꾸준히 수집해 왔었다. 총 보유량은 3억 6천만 건 정도 됐는데, 2014년 MS와 계약을 맺어 해당 데이터베이스에 접근할 수 있도록 해 주었다. MS가 홀드의 DB와 MS 자신의 고객 DB를 비교하여 고객들에게 경고를 보내는 용도로만 DB를 활용하도록 했던 것이었다. 하지만 MS는 이 DB를 활용해 ADFS라는 서비스를 개발했다고 홀드 측은 주장하고 있다.


배경 : 홀드가 보유하고 있던 다크웹 DB와 ADFS 서비스의 기술적 상관 관계에 대해서는 아직까지 공개된 바가 없다. 또한 홀드는 MS가 계약된 내용 이상으로 DB를 활용했다고 보고 있고, 그 동안 MS에 연락해 여러 번 시정을 요청했으나 MS는 아무 답변도 없었다고 한다. 그래서 이번 고소를 진행할 수밖에 없었다는 입장이다.

말말말 : “홀드의 주장을 내부적으로 검토해 왔고, 그들의 주장이 사실을 있는 그대로 담지 못하고 있음을 알게 되었습니다. 그래서 기각을 요청할 예정입니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>