• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

AWS 환경설정 오류로 일급기밀 관련 정보 노출 2017.09.06

퇴역 군인 정보 통해 국방, 안보 관련 민감한 정보 간접 유출
대형 케이블사 서드파티 통해서도 개인정보 4백만 건 노출돼

[보안뉴스 문가용 기자] 아마존 클라우드의 환경설정 오류 때문에 민감한 정보가 또 다량으로 유출됐다. 그것도 비슷한 시기에 두 건에 걸쳐 이러한 일이 일어났다. 한 건은 타이거스완(TigerSwan)이라는 사설 경비 업체에서 발생했고, 또 다른 한 건은 케이블 TV 업체인 타임워너케이블 사에서 발생했다.

[이미지 = iclickart]


경비 업체인 타이거스완에는 퇴역 혹은 전역 군인의 이력서가 상당수 들어오는데, 이들 중에는 국가 일급기밀 사항에도 접근 권한이 있는 사람이 있어 문제가 대단히 커질 수도 있을 것으로 보인다. 타이거스완은 이력서 정보 관리를 탈렌트펜(TalentPen)이라는 서드파티 업체가 수행했다며 자신들이 직접 잘못한 건 주장하고 있다.

이 문제를 발견한 건 보안 업체인 업가드(UpGuard)의 전문가 크리스 비커리(Chris Vickery)로, S3 버킷을 통해 9402건의 문서를 수집할 수 있었다고 말한다. 해당 S3 버킷에는 그 어떠한 비밀번호도 걸려있지 않았었다.

“문건을 분석해보니 대부분 퇴역 군인들의 개인정보가 담긴 것이었습니다. 심지어 현역일 때 어떤 업무를 수행했고, 어디 부대에 소속되어 있었는지도 상세하게 공개되었습니다. 당연히 국방과 국가 안보에 민감한 정보도 직간접적으로 노출되었고요.” 업가드가 이를 발견한 건 7월 24일이었고, 조치가 취해진 건 8월 24일이었다.

“그 기간 동안 비밀 취급 인가 관련 정보, 운전면허증 번호, 여권 번호, 일부 사회보장 번호가 노출되었고, 이라크와 아프가니스탄에서 미군과 합동 작전을 벌인 군인들에 대한 정보도 있어서, 이 정보가 만약 외국 세력이나 테러리스트들에게 노출되었다면 이들의 목숨도 위험할 수 있습니다.” 또한 UN이나 미국의 비밀국, 국방정보국, 국방부, 국토안보부와 협조했던 국방, 첩보, 사법, 언어, 물류 전문가들의 신원도 노출됐다.

보안 전략 업체인 프리베일런트(Prevalent)의 수석 책임자인 브래드 켈러(Brad Keller)는 “이 정보의 노출로 인해 관련자들의 신상에 큰 위험이 있을 수 있다”며 이번 사건의 파장이 결코 작지 않을 것이라고 강조했다. 하지만 타이거스완은 “우리 측의 책임은 하나도 없다”는 입장이다. “타이거스완 서버에서는 그 어떠한 데이터도 유출되지 않았습니다. 저희가 저장하고 있는 파일들은 안전하게 보관되어 있습니다.”

그러나 전문가들의 의견은 타이거스완과 다르지 않다. 켈러도 그중 하나다. “타이거스완과 탈렌트펜 모두에게 책임이 있습니다. 탈렌트펜과 위탁 계약을 하기로 선택한 게 타이거스완이고, 탈렌트펜의 보안 상태를 제대로 점검하지 않은 것도 타이거스완입니다. 타깃(Target)도 따지고 보면 서드파티를 통한 해킹 공격이 실시된 건데, 우린 그 사건에 대한 책임을 타깃에 묻고 있죠.”

한편 맥키퍼(MacKeeper)의 크롬텍 보안센터(Kromtech Security Center)에서도 소프트웨어 및 서비스 제공 업체인 브로드소프트(BroadSoft)에서도 비슷한 사고가 발생한 것을 발견했다. 타임워너케이블 사의 고객 4백만 명의 개인정보가 AWS S3 버킷을 통해 노출되고 있었다는 것이다. 해당 버킷에서도 비밀번호가 하나도 걸려있지 않았다. 브로드소프트 역시 타임워너케이블의 서드파티 업체다.

보안 업체 사이버GRX(CyberGRX)의 CEO인 브레드 네이프(Fred Kneip)는 “이런 일이 자꾸만 발생한다”며 “이를 막으려면 대기업들이 서드파티 업체들의 보안 상태를 파악 및 교육하고, 내부 직원들의 클라우드 관리 역시 철저하게 신경서야 한다”고 강조한다. “이건 클라우드 활용만의 문제가 아니라, 오래된 ‘서드파티 보안’ 문제이기도 합니다.”

업가드는 “본질적으로는 데이터 자체를 보호해야 한다는 기업 측의 책임감이 아직도 부족하기 때문에 일어나는 현상”이라고 주장한다. “클라우드 데이터베이스 노출은 해킹 사고와 동일한 것입니다. 게다가 해커의 수고도 덜어주는 것이기도 하죠. 이런 때 서드파티에만 손가락질을 하는 건 마치 데이트 유출사고가 일어날 경우, 책임을 전가하기 위한 대비책으로서 계약을 맺은 것처럼 보일 정도입니다.”

아마존은 이런 사고가 반복적으로 일어나자 메이시(Macie)라는 보안 솔루션을 마련했다. S3 저장소의 취약점을 파악하고 분류하고 데이터를 보호하는 기능을 갖춘 것으로, 의심스러운 모든 활동을 모니터링한다. 6일 삼성동 코엑스에서 열린 ISEC 2017 둘째 날 기조연설로 나온 피터 무어(Peter Moore) AWS 아태 총괄은 메이시를 소개하며 “클라우드 보안에 대한 사용자의 염려를 덜어내도록 애쓰겠다”고 발표했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>