최근 일본 나고야에 위치한 게임 개발사 Ateam이 단순한 구글 드라이브 설정 오류로 인해 약 7년에 걸쳐 약 100만 명의 개인정보가 위험에 노출될 수 있는 상황이란 것을 공개했다.
지난해 12월 Ateam은 모바일 게임 및 서비스 사용자, 직원, 비즈니스 파트너에게 구글 드라이브 스토리지 인스턴스의 심각한 구성 오류에 대해 공개했다. 2023년 11월 21일에 발견된 이 잘못된 설정은 2017년 3월부터 지속되어 왔으며, 링크를 통해 인터넷에 접속하는 모든 사람이 드라이브의 콘텐츠를 볼 수 있었다.
이러한 보안 허점으로 인해 Ateam 고객, 비즈니스 파트너, 전현직 직원은 물론 인턴과 입사 지원자 등 다양한 사람들의 개인정보가 포함된 1천369개의 파일이 노출되었다.
유출된 데이터는 각 개인이 회사와 맺은 관계에 따라 다양했다. 노출된 정보에는 성명, 이메일 주소, 전화번호, 고객 관리 번호, 단말기 식별 번호 등이 포함되었다. 현재 악의적인 공격자가 이 정보를 악용했다는 구체적인 증거는 없지만, Ateam은 고객들에게 피싱공격 등 주의를 당부하고 있다.
문제의 잘못된 설정은 구글 드라이브 인스턴스를 '링크를 가진 인터넷 사용자라면 누구나 볼 수 있음'으로 설정했는데, 이는 일반적으로 민감하지 않은 데이터 협업을 위한 설정이다. 하지만 사소해 보이는 이 실수는 기업이 클라우드 서비스의 보안 설정에 각별한 주의를 기울여야 한다는 것을 보여주는 사례다.
클라우드 스토리지 서비스를 이러한 개방형 액세스 수준으로 설정하는 것은 의도하지 않았더라도 상당한 위험을 초래할 수 있다. 민감한 정보에 대한 링크가 공개적으로 노출되면 검색 엔진에 의해 색인이 생성되어 광범위하게 액세스할 수 있다. 사용자가 이러한 링크를 우연히 발견할 가능성은 적지만, 이 사건은 데이터 유출이 점점 더 만연하는 시대에 보안 관행이 얼마나 중요한지 전해주는 사례로 보인다.
과거에도 클라우드 서비스에서 유사한 구성 오류로 인해 데이터가 노출된 사례가 있었다. 2017년 잘못 구성된 아마존S3 버킷에서 방대한 양의 사용자 데이터가 노출된 사례도 있다. 이러한 사례를 계기로 노출된 클라우드 서비스를 스캔하는 도구도 출시된 바 있다.
이에 미국 사이버 보안 및 인프라 보안국(CISA)은 기업이 클라우드 서비스를 효과적으로 보호할 수 있는 지침을 발표한 바 있으니 참고해야 한다. Ateam 사건은 잠재적인 악용으로부터 민감한 데이터를 보호하는 데 있어 사전 조치가 매우 중요하다는 것을 잘 보여주고 있다.
사용자가 데이터를 저장하고 액세스하는 데 클라우드 서비스에 점점 더 의존하게 되면서 기업은 민감한 정보가 실수로 노출되는 것을 철저히 예방해야 한다.
이번 Ateam 사례에서 보듯, 잘못된 설정은 조직이 클라우드 보안 프로토콜을 재검토하고 강화해 액세스 제어 및 구성이 데이터의 민감도에 적합한지 확인해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★