요약 : 보안 외신 블리핑컴퓨터에 의하면 일부 클라우드 플랫폼에서 공통된 취약점이 발견됐다고 한다. 취리히연방공과대학교의 연구원들이 발견한 것으로, 해당되는 클라우드 서비스는 싱크(Sync), 피클라우드(pCloud), 아이스드라이브(Icedrive), 시파일(Seafile), 트레소릿(Tresorit)이다. 이 클라우드들의 사용자들은 2200만 명이 넘는 것으로 집계되고 있다. 이 클라우드 서비스들은 종단간 암호화를 약속하고 있는 ‘보안 클라우드’라는 특징을 가지고 있다. 하지만 이 취약점 때문에 보안 클라우드가 아니라 오히려 취약한 클라우드로서 서비스 되고 있는 게 현실이라고 연구원들은 꼬집었다.


배경 : 위 클라우드 서비스에서 모두 같은 취약점이 발견된 건 아니다. 따라서 하나의 공통된 CVE 번호가 이번 사안에 부여되지는 않았다. 다만 어떤 문제든 클라우드에 저장된 데이터에 아무나 접근할 수 있게 한다는 데에 공통점이 있다. 즉 종단간 암호화가 성립되지 않는다는 뜻이다. 트레소릿이 그나마 조금 더 나은 정도였고, 아이스드라이브는 패치할 계획이 없다고 알렸다.

말말말 : “문제의 근원은 클라우드 서비스마다 다릅니다만 결국 종단간 암호화라는 이들의 주요 셀링포인트가 지켜지지 않고 있다는 것은 같습니다. 이 때문에 앞으로 이들 서비스의 대응을 지켜보고 사용을 결정하는 것이 안전할 것입니다.” -취리히연방공과대학-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>