| 버라이즌 메가브리치, 6백만 고객 정보가 노출됐다 | 2017.07.13 |
콜센터 서비스 업체 직원, 클라우드 환경설정 실수
CISO는 서드파티 계약서 꼼꼼하게 검토하고, 데이터 위주 보안 툴 알아봐야 [보안뉴스 문가용 기자] 대형 통신업체 버라이즌 커뮤니케이션즈(Verizon Communications)의 고객 6백만 명의 개인정보가 유출됐다. 버라이즌의 서드파티 파트너인 나이스 시스템즈(NICE Systems)가 버라이즌의 클라우드 기반 파일 저장소의 환경설정을 잘못해서 발생한 일이다. 관련된 클라우드 서비스는 AWS인 것으로 나타났으며 보안 업체인 업가드(UpGuard)가 이 사실을 발견했다.  [이미지 = iclickart] 이 사건으로 총 1천 4백만 건의 기록이 노출됐다고 업가드는 추정하고 있는데 버라이즌은 자사 고객은 6백만 명이라고 설명하고 있다. 한편 노출된 정보는 고객의 이름, 주소, 계정 정보, PIN 번호 등이다. 업가드의 조사에 의하면 노출된 파일들 중 한 개에만 6000개의 PIN 번호가 저장되어 있었다고 한다. 업가드의 사이버 분석가인 댄 오설리반(Dan O’Sullivan)은 “PIN 번호를 저장하고 있는 파일이 전부 몇 개인지 정확히 세어 보지는 않았지만 일단 1천 4백만 건의 파일 모두에 PIN 번호가 있는 건 아니었다”며 “그래도 전부 합쳐보면 수백만에서 수천만 건이 되지 않을까 추정하고 있다”고 말했다. 클라우드 기반의 데이터베이스 환경설정을 잘못하여 정보가 노출되는 사건들 중 이번 사건이 특별한 건 PIN 번호가 개인정보와 함께 있었기 때문이다. “PIN 번호는 고객 관리 직원이 고객을 식별할 수 있도록 돕는 장치입니다. 즉 이것만 있으면 누군가 해당 고객으로 사칭해 버라이즌에 접근할 수 있게 된다는 것입니다. 그러면 자연스레 개인 계정이 유출되는 것이고요.” 이에 버라이즌 측은 이번 노출 사건에 대한 성명서를 발표해 “고객 데이터가 일부 공개적으로 노출되었으나 아직까지 그 정보를 활용한 범죄 시도가 단 한 건도 일어나지 않았다”고 사람들을 안심시키려 했다. 또한 PIN 번호에 대해서는 “전화 통화로 고객에게 서비스를 제공할 때 사용되는 것일뿐, 온라인 서비스와는 아무런 관련이 없는 정보”라고 말하기도 했다. 사건 발생 경위에 대해서는 “저희 파트너사 직원 중 한 명이 클라우드 저장소에 정보를 저장해놓고, 저장 옵션을 잘못 설정하는 실수를 저지른 것”이라고 밝혔다. 여기서 말하는 파트너사는 나이스 시스템즈로 버라이즌의 콜센터 운영을 통한 고객 만족도 향상을 주로 맡고 있었던 기업이다. 고객 만족도를 높이려면 나이스 시스템즈에게도 필요한 정보가 있었다. 특정 고객의 특정 개인정보나 휴대폰 전화번호 등이 있어야만 제공할 수 있는 서비스가 있었던 것이다. 다만 “사회보장번호는 나이스 시스템즈에게 제공해본 적이 없다”고 버라이즌 측은 밝혔다. 업가드의 사이버 위협 평가 책임자인 크리스 비커리(Chris Vickery)는 문제의 AWS S3 데이터 저장소의 서브도메인인 verizon-sftp를 우연히 발견하게 됐는데, “접속해보니 여섯 개의 폴더가 있었다”고 설명한다. “그 폴더들의 이름은 날짜였습니다. ‘2017년 1월’부터 ‘2017년 6월’까지 순서대로 정리되어 있었고, 그밖에 Zip 파일들도 다수 있었습니다. 다운로드를 시도해보니 저장소 전체의 데이터를 아무런 방해 없이 받을 수 있었고요. 누구나 저처럼 ‘우연히’ 이 서브도메인에 들어오면 버라이즌의 고객 데이터를 받을 수 있었던 겁니다.” 업가드는 이 사실을 알아차리자마자 버라이즌에 연락을 했다. 그날이 6월 13일이었고, 조치가 취해진 건 6월 22일이었다. “솔직히 아흐레나 시간이 걸렸다는 건 조금 이해하기 힘듭니다. 정보의 민감성을 고려했을 땐 9일이 짧은 것도 아니고요.” 한편 사설 AWS S3 서비스의 설정을 잘못해 데이터를 공개적으로 노출시킨 사건은 과거에도 수차례 있었다. 올해 초 업가드는 공화당 전국위원회(RNC)의 데이터베이스에서도 비슷한 상황을 발견했고, 당시 유권자 수백만 명의 정보가 노출되었던 것으로 밝혔다. RNC도 버라이즌과 마찬가지로 서드파티 업체에 클라우드 저장소 일부에 대한 접근을 허락하고 있었고, 해당 업체 직원이 환경설정에 오류를 일으킨 것이었다. “서드파티의 보안 상태를 점검하는 건 CISO의 빠질 수 없는 임무입니다. 특히 중요한 데이터를 주고받아야 하는 관계라면 더더욱 그렇습니다. 자기 회사만 잘 지킨다고 보안이 철저하다고 말할 수 있는 때가 아닙니다. 물론 아무리 갑이라고 해도 을의 보안 상태를 강요할 수는 없죠. 그러니 CISO는 ‘계약서 제작’에 참여해야 합니다. 업무 상 반드시 필요한 보안 실천 사항을 준수하도록 서로 간에 약속을 할 수 있도록 말입니다.” 오설리반의 설명이다. 또 다른 보안업체 비트글래스(Bitglass)의 CEO인 리치 캄파냐(Rich Campagna)는 “데이터 중심의 보안 툴들을 사용하면 이런 실수로 인한 정보 유출 및 노출을 막을 수 있다”고 설명한다. “환경설정도 결국 현장에 있는 사람이 하는 건데 실수가 없으리라고 보는 건 안일한 겁니다. 이런 실수를 막아주는 툴들을 알아보고 사전에 방지할 수 있는 기술을 찾는 것도 중요한 일입니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
