[아이뉴스24 성지은 기자] 아마존웹서비스(AWS)의 클라우드 스토리지 서비스 'AWS S3'를 잘못 설정해 개인정보가 유출되는 사고가 잇따라 발생하고 있다.
최근 페덱스에서 12만여명의 개인정보가 유출됐으며, 지난해 버라이즌, 다우존스 등에서도 보안사고가 발생했다.
잘못된 환경설정 등 사용자 관리 소홀로 클라우드 상 민감정보가 연이어 유출되고 있는 가운데, 기업 스스로 데이터 보안에 주의를 기울여야 한다는 목소리가 나온다.
19일 보안업계에 따르면, 최근 페덱스에서 11만9천명의 개인정보가 유출됐다. 유출된 개인정보 중에는 사진 등 민감정보가 포함된 여권 사본도 있다.
영국 IT전문매체 더레지스터 등 외신에 따르면, 지난 2014년 페덱스에 인수된 운송대행업체 '봉고 인터내셔널'은 AWS S3 저장소 단위인 '버킷' 보안설정을 잘못해 누구든 클라우드 데이터에 접근하고 개인정보를 열람할 수 있도록 빌미를 제공한 것으로 나타났다.
◆잘못된 AWS S3 버킷 설정, 개인정보 유출·보안위협 야기
이처럼 버킷 설정 오류로 초래되는 데이터 보안 위협은 다양하다. 가령 사용자가 버킷 설정을 읽기(read) 상태로 열어두면 누구든 클라우드 데이터에 접근할 수 있다.
실제로 미공화당전국위원회(RNC)에서 환경설정 오류로 수개월에 걸쳐 1억9천여명의 유권자 민감정보가 노출되기도 했다. 지난해 버라이즌, 다우존스, 액센츄어 등에서도 AWS S3 환경설정 오류로 개인정보 유출사고가 발생했다.
특히 덮어쓰는(overwrite) 설정 선택시 주의해야 한다. 만약 임의 공격자가 덮어쓸 수 있도록 설정된 버킷을 찾아낸다면, 데이터를 삭제하거나 악성코드를 올려 데이터를 훼손하고 더 큰 피해를 야기할 수 있기 때문이다.
◆클라우드 상 데이터 보안, 기업 스스로 책임져야
클라우드에 저장된 데이터는 기업 스스로 책임지고 보호해야 한다. 그러나 AWS 같은 클라우드 서비스 제공업체가 IT 인프라뿐만 아니라 클라우드 상의 데이터까지 보호해야 한다고 오해하는 기업이 많다.
실제 데이터 관리 전문기업 베리타스테크놀로지스가 지난해 전 세계 13개국 비즈니스· IT 의사결정자 1천200명을 대상으로 조사한 결과, 서비스형 인프라(IaaS)를 이용 중이거나 이용할 계획이 있다고 답한 기업 10곳 중 8곳(83%)이 데이터 보호책임 소재를 오해했다.
이들은 클라우드 서비스 제공업체가 클라우드 상 데이터를 보호해야 한다고 답했다. 그러나 실제 계약서를 살펴보면 데이터 관리는 기업 책임으로 규정한 게 대다수다.
보안업계 관계자는 "잘못된 클라우드 스토리지 설정을 검색하는 오픈소스 도구가 있지만, 이 경우 사용자 몰래 시스템에 접근할 수 있는 백 도어(back door)가 심어진 경우도 있어 주의해야 한다"고 조언했다.
또 "인증받은 업체의 클라우드 보안 서비스를 이용하고 사용자 스스로 클라우드 데이터 보안 정책을 만들어 유지하는 등 노력을 기울여야 한다"고 덧붙였다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기