인공지능 훈련용 데이터 공유하려다가...토큰 설정 실수 저질러

요약 : 보안 외신 핵리드에 의하면 마이크로소프트의 인공지능 개발자들이 실수로 38TB의 데이터를 노출시키는 사고가 발생했다고 한다. 개발 팀 두 명이 백업으로 사용했던 드라이브도 통째로 여기에 포함되어 있었다고 한다. 각종 기밀과 비밀 키, 비밀번호, MS 직원들끼리 내부적으로 진행했던 각종 대화들까지도 전부 노출됐다. 스토리지 컨테이너의 설정이 잘못된 것 때문에 발생한 일이었다고 한다. 깃허브에 인공지능 훈련용 데이터를 공유하려다가 발생한 사건이다.


배경 : 문제의 근원이 된 건 SAS 토큰이다. 공유접근서명(Shared Access Signature)의 준말로, 말 그대로 특정 자원을 애저 클라우드를 통해 공유할 때 사용된다. 공유가 가능한 사람들에게 SAS 토큰을 발행하는데, 이 때 권한 설정이 알맞게 되지 않을 경우 데이터 유출 사고가 발생할 수 있다. MS 개발자들이 저지른 실수가 바로 이 토큰 권한 설정이었다.

말말말 : “SAS는 매우 편리한 기능이긴 하지만, 오히려 그렇기 때문에 중대한 보안 위협이 될 소지가 있습니다. 안전한 설정을 유지할 수 있도록 관리해야만 합니다.” -위즈(Wiz)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>