Home > 전체기사
MS, 퀄컴, 어도비, 디즈니 등 주요 기업의 소스코드 공개돼
  |  입력 : 2020-07-29 08:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소나큐브, 젠킨스, 깃랩 등 유명 개발 협업 플랫폼에서 나온 정보들
설정 오류가 가장 큰 원인...인프라 강화에 대한 경각심 심으려 공개


[보안뉴스 문가용 기자] 수십 개의 기업들이 비밀리에 연구 및 개발 중이던 소스코드가 한꺼번에 공개되는 사건이 발생했다. 개발에 사용되던 데브옵스 인프라가 보호되지 않은 탓에 생긴 일이라고 한다.

[이미지 = utoimage]


스위스의 IT 컨설턴트인 틸 코트만(Till Kottmann)은 약 50개 기업들의 목록을 자신의 블로그에 올렸다. 소스코드가 유출된 기업들이라고 소개했다. 이에 일부 기업들은 리포지터리에서 소스코드를 삭제했으나 대부분은 아직도 그대로 남겨두고 있다.

코트만은 데브옵스 인프라의 설정 오류나 실수를 통해 이런 정보들이 새나간 것이라며 대부분 소나큐브(SonarQube), 깃랩(GitLab), 젠킨스(Jenkins)를 통해 이러한 정보들을 확보할 수 있었다고 밝혔다. 또한 다른 여러 제보자들이 관련 자료를 보내오기도 했다고 말했다. 다만 그 제보자들이 정보 획득 방법까지 알려주지는 않았다고 한다.

이 목록에 이름을 올린 기업들은 다음과 같다.
1) 마이크로소프트, 2) 어도비, 3) 존슨 컨트롤즈(Johnson Controls), 4) GE, 5) AMD, 6) 레노버, 7) 모토롤라, 8) 퀄컴, 9) 미디어텍(Mediatek), 10) 디즈니, 11) 데임러(Daimler), 12) 로블록스(Roblox), 13) 닌텐도 등.
소프트웨어, 하드웨어, 의료, 금융, 자동차, 여행 등 다양한 산업에서 이 같은 일이 발생했다는 것을 알 수 있다.

MS는 아직 아무런 입장을 발표하지 않고 있는 상황이고, 어도비는 외신들을 통해 현재 유출된 정보를 삭제하는 중이라고 밝혔다. 그러면서 어도비 고객이나 어도비 자체 시스템의 침해로 인해 발생한 사건은 아닌 것으로 보인다고 나름의 조사 결과를 발표하기도 했다.

의문이 드는 건 코트만의 태도다. 그는 기업의 목록만이 아니라 실제 소스코드 열람이 가능한 경로를 웹사이트를 통해 공개하고 있기 때문이다. 즉 소스코드도 같이 노출시키고 있는 것과 다름이 없다. 그러면서도 해당 기업들에 이 사실을 따로 알리지 않고 있다고 한다. 오로지 의료 기록 등 민감한 정보가 함께 포함되어 있을 때만 비공개 처리하고 해당 기업들에 따로 알린다고 코트만은 설명했다.

그는 왜 소스코드를 굳이 공개하는 것일까? 그의 개인 트위터 프로필에 “어쩌면 당신의 중요한 소스코드를 유출 중일지도 모름”이라고 적혀 있기도 하고, “공개되는 것이 맞다고 여겨지는 정보를 획득했다면 저한테 연락주세요”라는 트윗이 제일 위에 올라와 있는 걸 보건데, 그는 이런 ‘정보 공개’를 장기 프로젝트로서 진행하고 있는 것으로 추정된다.

그는 보안 외신인 시큐리티위크와의 인터뷰를 통해 “이런 활동을 통해 기업들에게 데브옵스 및 개발 인프라 강화의 중요성을 알릴 수 있기를 바란다”는 목적을 설명하기도 했다. 그러면서 “기업들이 자신들의 재산과 다름이 없는 소스코드를 어떤 식으로 관리하고 있는지 궁금해 하는 사람들이 많고, 나 역시 그 중 하나”라고 덧붙이기도 했다.

또한 “커스텀 롬을 만드는 사람들에게 유용한 정보가 될 수도 있으며, 정치적 목적을 가지고 공개하는 경우도 있다”고 밝히기도 해 그가 약간은 위키리크스(WikiLeaks)의 행적을 좇고 있다는 것이 드러나기도 했다. 물론 아직까지 그에게 스파이 혐의가 씌워질만한 정보가 공개된 적은 없다.

3줄 요약
1. 한 보안 전문가, 50여개 기업들의 소스코드를 공개함.
2. 대부분 데브옵스 및 협업 플랫폼의 잘못된 설정을 통해 노출된 정보였다고 함.
3. 하지만 굳이 소스코드까지 같이 노출시킬 필요가 있었을까 하는 의문이 드는 것도 사실.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)