Home > 전체기사

MS 애저 클라우드에서 발견된 취약점, 주요 데이터 노출시켜

  |  입력 : 2021-08-30 12:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드는 일반적으로 ‘꽤나 양호한’ 보안성을 자랑한다. 그러나 완전한 건 아니다. MS의 대표 클라우드 속 대표 서비스에서 취약점이 발견되는 바람에 여러 고객사들이 데이터 노출의 불안감을 안게 됐다. 클라우드가 온전한 안도감을 주기에는 아직 시간이 좀 더 필요한 듯하다.

[보안뉴스 문가용 기자] 마이크로소프트의 애저 클라우드 플랫폼을 사용하던 고객사 3300곳의 데이터가 노출되는 사건이 발생했다. 이중에는 포춘 500대 기업에 속한 곳들도 다수 포함되어 있다고 클라우드 보안 업체 위즈(Wiz)가 발표했다. 특히 2019년 새롭게 도입된 데이터 과학 기능을 사용해 온 고객들이라면 위험의 가능성이 더 높다고 한다.

[이미지 = utoimage]


문제의 근원은 마이크로소프트가 2019년 애저에 구축한 인터랙티브 웹 애플리케이션인 주피터 노트북(Jupyter Notebooks)이다. 여기서 권한 상승 취약점이 발견된 것이다. 익스플로잇에 성공할 경우 애저 고객사들의 기본 데이터베이스 키에 접근하는 게 가능하다. 이런 고객사들에는 코카콜라, 콜러, 롤즈로이스, 지멘스, 시만텍 등이 있다. 즉 주요 기업들의 데이터베이스 키가 전부 노출된 것이다.

위즈 측은 이를 발견하고 3일 내에 이를 MS에 통보했고, MS는 이틀 만에 주피터 노트북 기능을 비활성화시켰다. 이것이 8월 14일의 일이다. “취약점을 익스플로잇 해 보니 저희의 주피터 노트북 인스턴스를 통해 다른 고객의 주피터 노트북 인스턴스에 접근할 수 있었습니다. 그리고 그 주피터 노트북 인스턴스들에는 DB 접근 키가 저장되어 있었습니다.” 위즈의 수석 연구원인 쉬르 타마리(Shir Tamari)의 설명이다. MS는 이번 연구 과정에서 DB가 노출된 고객들에게 보안 권고문을 발송했다.

클라우드 서비스 제공 업체들은 일반 기업들보다 더 강력한 보안 기능을 제공할 것이라는 기대감이 사용자들 사이에 존재한다. 보기에 따라 맞는 말일 수도, 틀린 말일 수도 있다. 분명한 건 클라우드 서비스를 제공하는 대기업들이라고 하더라도 완전하지는 않다는 것이다. 애저 클라우드처럼 애플리케이션 등과 같은 요소에서 취약점들이 왕왕 발견되는 것이 사실이다. 또한 클라우드 환경에서의 취약점은 파장이 매우 커질 수 있다.

실제로 위즈는 이번 달 초 열린 보안 행사인 블랙햇(Black Hat)에서 AWS와 구글 클라우드 플랫폼에서 발견된 취약점들을 공개한 바 있다. 이 취약점들을 익스플로잇 할 경우 클라우드 내에서 분리되어 있는 각 고객사의 영역을 무시하고 드나들 수 있다고 위즈는 설명했었다. 클라우드 내 고립 영역을 마음대로 드나들 수 있다는 건 클라우드의 존재 이유 자체를 위협하는 문제가 될 수 있다.

“이제는 클라우드가 온라인 생활의 필수 요소가 되었습니다. 애플리케이션과 DB를 사용해서 하는 모든 일들이 이런 저런 방법으로 클라우드와 엮이게 되어 있죠. 또한 최근 DB가 설정 오류와 관리 부실로 고스란히 노출되는 사건이 너무나 많이 일어나고 있고, 이 때문에 다크웹에서는 추가 범죄에 활용할 수 있는 자원이 넘쳐나고 있는 상황입니다. 클라우드는 일상 속 어디에나 있습니다. 따라서 이 환경에서 일어나는 보안 사고들 역시 투명하게 공개되어야 합니다.” 위즈의 설명이다.

그러나 위즈의 바람과 달리 MS 애저의 주피터 노트북 취약점에 대해서는 아직 공개된 내용이 거의 없다. 현재 피해 범위와 사건의 영향력을 조사 중에 있다는 설명 뿐이다. 게다가 위즈의 보안 연구원들에게도 취약점 세부 내용을 공개하지 말라고 당부했다. 그렇기 때문에 “우리 인스턴스로 다른 고객 인스턴스에도 접근할 수 있었다”는 것 외에 알려진 내용은 아무 것도 없다.

다만 위즈는 다른 애저 애플리케이션들에는 같은 취약점이 없을 것으로 보고 있다. “취약점은 코스모스 DB 내 주피터 노트북의 설계 방식과 아키텍처 때문에 나타나는 것으로, 비슷한 패턴이 다른 요소들에서도 나타나는지 확인했을 때 아무 것도 발견할 수 없었습니다. 주피터 노트북에서만 나타나는 고유의 문제로 보입니다.”

또 다른 문제는, 이 취약점이 주피터 노트북이 도입된 2년 전부터 계속해서 존재해 왔던 것이라는 점이다. 따라서 위즈 이전에도 누군가 이 취약점을 발견해 익스플로잇 해 왔을 수도 있다. 다만 정확한 실상을 파악하기가 지금은 불가능에 가깝다. 위즈는 “이 취약점 때문에 악영향을 받았을 고객사의 수가 지금 MS가 파악하는 것보다 더 많을 가능성이 높다”고 말한다. “수년 째 방치되어 왔기 때문”이다.

MS는 문제의 주피터 노트북을 비활성화시킨 것에 더해 코스모스 DB를 안전하게 보호하기 위한 방법들은 보안 권고문 형태로 내보냈다. MS나 위즈 모두 “접근 키를 수동으로 폐지시키고 새로운 키를 생성할 것”을 권하고 있다. 타마리는 “실제 침해 사고가 발생했을 가능성은 높아 보이지 않지만, 0이라고 단정할 수도 없다”며 “누군가 코스모스 DB에 저장한 데이터에 접근했을 가능성을 염두에 두고 데이터 보안 강화 조치를 강구할 것”을 권고하기도 했다.

3줄 요약
1. MS 애저 클라우드의 코스모스 DB 사용자라면 주의해야 할 사건 발생.
2. 보안 전문가 일부가 다른 고객사의 코스모스 DB에 접근할 수 있었던 것.
3. 2년 만에 발견된 취약점, 어쩌면 그 동안 악성 세력들이 접근해왔을 수도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)