• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공급망/서드파티 통하여 정보 노출시킨 테슬라와 폭스바겐 2018.07.24

공장 자동화 기술 가진 서드파티 기업, 설정 오류로 중요 정보 노출
유명 회사의 고객사라고 무조건 믿어서는 안 돼...서드파티 보안도 이젠 기본

[보안뉴스 문가용 기자] 테슬라와 폭스바겐 등 열 곳이 넘는 제조 및 생산 기업들이 서드파티 및 공급망을 통하여 자신들의 민감한 정보를 노출시키고 있는 것이 발견됐다. 노출이 시작된 지점은 산업 자동화 기술 제공업체인 레벨원 로보틱스(Level One Robotics)였고, 아르싱크(rsync) 파일 전송 프로토콜 서버의 불완전한 설정 때문에 사고가 발생했다고 보안 업체 업가드(UpGuard)가 밝혔다.

[이미지 = iclickart]


업가드가 발견한 바에 의하면 서버에는 아무런 제한이 없었는데, “해당 서버에 연결된 클라이언트를 통해 데이터에 접근하는 것이 매우 쉬운 일이라는 뜻”이라고 한다. “공격자 입장에서는 기밀이 저장된 위치만 정확히 알기만 하면, 서버 안에 있는 모든 데이터를 가져올 수 있게 되어 있더군요.”

여기에 더해 업가드가 발견했을 당시 아르싱크 서버는 누구나 디스크에 쓸 수 있는 권한까지도 허용하고 있었다. 아무나 이 서버에 접근한 후 임의의 파일을 골라 내용을 바꾸거나 삭제하는 게 가능했다는 소리다. 업가드는 “매우 심각한 오류”라고 지적했다.

이를 통해 업가드가 확인할 수 있었던 정보는 총 157GB였고, 이는 지난 10년 동안 차곡차곡 누적되어 온 자산이었다. 특히 생산 라인과 조립 라인에 대한 정보와, 기밀 유지 계약 내용, VPN 요청 양식, 레벨원 직원들의 은행 계좌 정보와 ID 관련 정보 등도 들어있어 유출되었다면 큰 피해로 이어질 공산이 컸다. 그러나 업가드는 이 정보가 공격자들의 손에 들어갔는지 아직 확인할 수 없었다.

“만약 악성 행위자들이 이 정보를 훔쳐갔다면 테슬라나 폭스바겐 등의 기업들에 사보타주 수준의 공격도 가할 수 있습니다. 아니면 당하는 줄도 모르게 야금야금 경영이나 생산을 방해할 수도 있고요. 악성 행위자가 아니라 시장 내 경쟁 기업들이 이 정보를 가져온다 하더라도 큰 위기를 맞이할 수 있습니다. 기밀 유지 계약서가 상당 수 들어있는데, 이것만 하더라도 위협적인 공격 무기가 될 수 있죠.”

하지만 업가드 보기에 더 염려되는 건 따로 있었다. “다행히 비밀번호가 평문으로 저장되어 있지는 않았습니다만, 공식 신원 확인 문건과 VPN 크리덴셜 요청 양식, 레벨원 고객들을 위한 연락처 정보와 개인정보 등을 조합하면 정교한 소셜 엔지니어링이 가능하게 됩니다. 그러면 아무리 보안을 철저히 해도 쉽게 뚫리게 되는 겁니다.”

결국 ‘기업의 데이터 프라이버시에 있어 가장 큰 위협은 공급망’이라는 최근 보안 업계 내 현상이 다시 한 번 사실임이 입증됐다. 업가드의 보안 전문가들은 “현대 기업 환경에서 공급망의 구조는 지나치게 복잡하다”며 “이 때문에 많은 서드파티들과 계약을 맺지만 그들이 하는 일을 하나하나 관리하지 못하는 것이 현실”이라고 설명한다.

보안 업체 사이버GRX(Cyber GRX)의 프레드 네이프(Fred Kneip) CEO는 “어떤 파트너사가 어떤 경로를 통해 어떤 데이터에 주로 접근하는지를 이해하고 있고, 항상 모니터링 해야 한다”고 설명한다. “큰 사건은 큰 구멍에서 발생하지 않습니다. 무시해도 이상하지 않은, 공급망 내 작고 사소한 오류가 하나만 있어도 공격은 충분히 발생합니다. 게다가 그 결과는 무시무시하죠. 서드파티를 관리하는 게 요즘 기업들의 첫 번째 보안 수칙이 되어야 할 겁니다.”

보안 업체 베로딘(Verodin)의 행동 연구 팀장인 제임스 레루드(James Lerud)는 “세계적으로 손꼽히는 기업이 레벨원 로보틱스의 고객사였다는 건, 레벨원 로보틱스의 보안 관련 사안들을 대기업들이 신뢰했다는 뜻”이라고 짚는다. “그리고 아마, 확인하지 않은 신뢰였을 겁니다. 확인을 하지 않는 순간, 누구라도 피해자가 될 수 있다는 걸 기억해야 합니다. 폭스바겐이 신뢰하는 기업이니, 나는 확인하지 않아도 되겠지, 라는 생각은 버려야 한다는 겁니다.”

기업들은 서로를 신뢰한다고 했을 때 ‘사장이 말이 잘 통해서’라거나 ‘저 회사는 돈을 잘 버니까’ 등의 이유를 대서는 안 된다고 그는 거듭 강조했다. “이제 기업 간 신뢰는 투명성은 물론 주기적인 확인(1년에 한 번은 안 하는 것과 마찬가지)을 바탕으로 형성되어야 합니다.” 다만 업가드는 “레벨원 로보틱스의 사고 대응이 굉장히 빨랐다”고 칭찬했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>