세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
90여개 박스 고객사, 민감한 정보 노출시킨 채 사용 중
  |  입력 : 2019-03-13 14:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 개인정보와 조직의 지적재산 누구에게나 노출되어 있어
공유 링크 옵션을 제한할 수 있으나 원활한 공유가 우선인 업무 문화


[보안뉴스 문가용 기자] 사이버 보안 업체 애드버시스(Adversis)의 전문가들이 박스(Box) 계정 설정을 잘못해 민감한 정보를 인터넷에 고스란히 노출시키고 있는 기업들을 수십 곳 발견해서 알렸다.

[이미지 = iclickart]


박스는 클라우드 기반의 콘텐츠 관리 플랫폼으로, 주로 파일이나 폴더를 사용자들끼리 공유할 수 있도록 해준다. AWS S3 버킷과 비슷한 서비스를 제공한다고 볼 수 있다. 박스 링크만 있으면 누구라도 파일을 공유 받을 수 있는데, 이 링크는 특정 사용자나 기업들만 열람할 수 있도록 설정된다.

그런데 애드버시스에 의하면 대형 기술 기업들과 손에 꼽히는 대기업들이 박스의 계정을 운영하다가 수백~수천 건의 여권 사진 정보, 사회 보장 번호, 은행 계좌 번호, 신기술 프로토타입, 설계 관련 파일들을 노출시켰다고 한다. 여기에 더해 어떤 기업들은 직원 정보, 예산 관련 정보, 영수증, 계산서, 내부 회의록, 고객 정보, IT 관련 정보, VPN 설정 정보, 네트워크 지형도까지 노출시키고 있었다.

기업 사용자들을 위한 박스 계정은 디폴트 상으로 보안 설정이 되어 있지만(private), 사용자들은 여전히 아무나와 파일과 폴더를 공유할 수 있다. 그렇기 때문에 단 한 개의 링크를 통해서도 정보가 모두에게 공개될 위험성이 충분히 존재한다. 그리고 그 가능성이 실제로 나타난 게 이번의 발견이다.

이론상 인터넷에 연결된 사람이라면 이렇게 노출된 링크를 통해 누구나 정보에 접근하는 게 가능하며, 실제로 연구원들은 간단한 스캔을 통하여 이러한 링크를 많이 찾아낼 수 있었다고 한다. 이런 실수를 저지르고 있던 기업은 90개가 넘는 것으로 나타났다. 심지어 박스 직언들 중에도 링크를 통해 일부 폴더를 노출시키고 있었다.

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 부회장인 제이슨 하딕스(Jason Haddix)는 “문서와 파일 공유 서비스에서 사용자들에게 허용 옵션을 제공한다는 건, 요즘 굉장히 리스크가 큰 행위”라고 설명한다. “이건 박스만이 아니라 드롭박스나 구글 드라이브와 같이 유사한 서비스를 하는 업자들이 모두 고민하는 문제일 겁니다.”

그러면서 하딕스는 “결국 아무리 보안의 중요성을 강조하고, 디폴트 설정으로 공유를 어느 정도 제한하더라도, 사용자들 중 일부는 콧방귀도 뀌지 않을 것이며 보안 옵션을 해제하고 공유 기능에만 초점을 맞춰 서비스를 사용할 것”이라고 덧붙였다. “그런 사람들은 공유를 더 편리하게 만들기 위해 얼마든지 보안을 타협할 겁니다. 그러면서 사고가 나는 거죠.”

그래서 하딕스는 “파일 공유와 관련된 설정 오류로 인한 사고가 앞으로 몇 년 동안은 계속해서 이어질 것”이라고 말하기도 했다. “사용자 개개인에게 설정을 맡기는 건 완전한 해결책이 될 수 없습니다. 기업이나 기관이 조직 차원에서 설정을 안전하게 할 수 있게 해주는 시스템을 마련해야 합니다. 파일 공유 플랫폼들 역시 부지런히 취약점을 찾아내 패치하는 작업을 진행해야 하고요. 사용자가 반드시 사고를 일으킬 것이라는 걸 전제로 깔고 보안을 강화해야 합니다.”

클라우트 기반 소프트웨어 업체인 세일포인트(SailPoint)의 CMO인 줄리엣 리즈칼라(Juliette Rizkallah)는 “요즘 기업들은 일을 완수하기 위해 수많은 애플리케이션들을 사용한다”며 “이런 애플리케이션들은 SAP와 같이 구조가 갖춰진 시스템 내에서 작동하기도 하지만, 클라우드 파일 공유 플랫폼들처럼 비정형화된 구조의 시스템 내에서 작동하기도 한다”고 설명한다.

“애플리케이션을 많이 사용한다는 건 업무를 보다 자유롭게 할 수 있다는 뜻으로, 생산성을 극대화시키는 데 도움이 되지만, 반대로 기업의 중요한 정보가 새나갈 구멍이 많아졌다는 뜻도 됩니다. 요즘 사이버 범죄자들은 실낱같은 정보만을 가지고도 이익을 극대화시킬 수 있는데, 그 과정에서 기업이 심각한 피해를 입기도 합니다. 업무의 자유가 가지고 있는 다른 측면도 기업은 기억해야 합니다.”

리즈칼라는 “대부분 조직들이 아이덴티티 프로그램을 운영하고는 있지만, 데이터 자체에 대한 관리(governing) 개념은 제대로 실천하고 있지 못하다”고 지적한다. “데이터에 대한 접근을 아이덴티티로 관리하는 건 데이터 거버넌스의 일부 요소일 뿐입니다. 데이터의 움직임과 활용에 대한 가시성을 더 확보할 필요가 있습니다.”

3줄 요약
1. 박스 사용하는 기업들 다수가 정보 공유 설정 잘못해 민감한 정보 노출시키고 있음.
2. 정보 공유 플랫폼인 박스, 디폴트 설정 고쳐가면서까지 ‘공유’에만 신경 쓰는 사용자들 믿지 말고 조직 차원에서 관리해야 함.
3. 보다 나은 데이터 거버넌스 위해서는 가시성 확보 위해 더 노력해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)