Home > 전체기사
미군의 S3 버킷에서 대량 민간 사찰 정보 노출돼
  |  입력 : 2017-11-21 11:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
8년 동안 수집...페이스북과 트위터가 주요 출처
국방부는 “첩보 위해 한 것 아니다” 반박


[보안뉴스 문가용 기자] 보안 업체 업가드(UpGuard)의 크리스 비커리(Chris Vickery)가 아마존의 S3 데이터베이스에서 대단히 민감한 정보를 다량으로 발견했다. 출처는 미국 국방부인 것으로 보이며, 내용은 민간인 사찰, 용량은 테라바이트 단위라고 한다. 유출 경위는 흔한 클라우드 설정 오류다.

[이미지 = iclickart]


사실 해당 데이터를 발견한 시점 자체는 9월이다. 설정이 잘못된 아마존 S3 버킷을 총 세 개 발견했고, 그 중 하나에서만 18억 건의 인터넷 게시물들이 저장되어 있었다. 이는 8년치의 자료로, 뉴스 사이트, 댓글란, 웹 포럼 게시글, 소셜 미디어에 올린 포스팅을 포함하고 있다고 비커리는 밝혔다.

“이러한 인터넷 활동들은 미국 영토 내 시민들뿐 아니라 미 중부사령부(중동지역 관할) 및 미 태평양사령부(태평양 지역 관할)와 관련 있는 지역의 사람들이 한 것으로 보입니다.” 즉 펜타곤이 미국 시민과 중동 및 태평양 지역의 민간인들까지도 인터넷을 통해 감시해온 것이다.

비커리가 발견한 바 해당 데이터는 벤더엑스(VendorX)라는 단체에서 관리해온 것으로 보인다. (현재 벤더엑스는 존재하지 않는다.) 이러한 데이터 수집 및 관리는 아예 아웃포스트(Outpost)라는 이름의 ‘프로젝트’ 단위로 진행되어 왔다. 데이터를 분석한 비커리에 의하면 아웃포스트 프로젝트의 주 목적은 “세계 여러 지역 내 위협 수준이 높은 젊은이들을 감시하는 것”이었다.

아웃포스트 프로젝트는 코럴 리프(Coral Reef)라는 프로그램과도 연관성이 있는 것으로 밝혀졌다. 코럴 리프란 미군이 정부를 돕기 위해 진행하는 것으로 “특정 인문들의 온라인 연관성을 추적”하는 기능을 가지고 있다.

업가드의 댄 오설리반(Dan O’Sullivan)은 두 달 동안 데이터를 분석한 결과 “우리가 발견한 S3 버킷들은 대량으로 수집한 자료를 분류 및 항목화하기 위해 사용하고 있는 것으로 보인다”고 발표했다. “즉 언제고 필요할 때 검색할 수 있고, 제대로 활용하기 위해 데이터를 정리해놓은 것이 지난 9월에 노출된 것입니다.”

설리반은 설명을 이어갔다. “미국의 외교적 상황이나 미국 첩보기관의 활동과는 전혀 상관없는 지역의 거주민들에 관한 자료들도 수집되어 있었습니다. 심지어 미국 자국민들에 관한 내용들도 대량으로 포함되어 있었고요. 페이스북과 트위터 포스트들이 특히 많았습니다. 정치적인 견해들을 밝힌 내용들이 다량으로 들어가 있었고요.”

하지만 업가드는 “미군이 왜 이렇게나 많은 자료를 10년 가까이 지속적으로 수집하고 있는지 정확한 이유까지 밝혀내지는 못했다”고 덧붙였다. 국방부 대변인은 PC매거진과의 인터뷰에서 “국방 사업자가 상업적인 목적으로 따로 수집 및 활용해온 것”이라고 주장하며 “정부 및 군사 작전 첩보용으로 활용하거나 분석한 적은 없다”고 말했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)