Home > 전체기사
수사 요원들 전용으로 만들어진 IT 서비스 포털, 계정 관리 소홀하다
  |  입력 : 2020-09-28 16:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이번 달 초에는 페이스북의 포털에서 로그인 문제 나오고...최근엔 아마존에서도
경찰 요원들만이 접속하고 요청 보낼 수 있어야 하지만 현재는 아무나 할 수 있어


[보안뉴스 문가용 기자] 수많은 기술 기업들이 사법 기관에 별도의 포털을 제공한다. 수사에 필요한 각종 정보들을 찾기 쉽게 만들기 위해서다. 수사 기관은 이 포털을 통해 수사 대상자가 고객으로 등록된 기업에 정보를 요청하고, 기업은 이 포털을 통해 들어온 요구에 답을 해준다. 물론 이 과정에서 포털 접속 가능자가 엄격하게 가려져야 함은 분명하다.

[이미지 = utoimage]


아마존도 이렇게 사법 기관을 위한 포털을 마련한 기업 중 하나다. 경찰 및 연방 수사 요원들이 고객 데이터에 대한 요청문을 작성하여 관련 법문서와 함께(보통 법원의 명령문) 제출하도록 되어 있다. 인터넷을 통해 누구나 이 포털에 접근이 가능하긴 하지만 누구나 계정을 등록할 수 있는 건 아니다. 공식 요원들만이 계정을 등록하고, 아마존이 이를 인증해야만 계정이 만들어진다.

이렇게 공식 절차를 거쳐 만들어진 계정들만이 아마존 측에 데이터 요청문을 제출할 자격 요건을 갖추게 된다. 다만 수사의 특성 상 분초를 다투는 일이라면 예외적으로 계정 없이도 요청문을 제출할 수 있다. 이 때 제출자가 자신이 사법 기관 요원이라는 사실을 “선언 및 인정”을 해야 한다.

아마존의 이런 포털은 그 자체로 고객의 데이터를 노출시키거나 고객 데이터로의 접근을 허용하지 않는 것이 맞다. 오로지 요청문을 제출하는 용도로만 사용되도록 설계 및 운영되어야 한다는 것이다. 하지만 이 명제가 이 포털에 완벽히 구현되어 있지 않다는 지적이 해외 IT 매체인 테크크런치로부터 나왔다. 대시보드와 요청문 양식에서 이미 일부 정보가 노출된다는 것이다. 대시보드와 양식에는 로그인 없이 접근이 가능하다.

이 포털을 통해 아마존이 사법 기관의 요청을 어떤 식으로 다루고 처리하는지도 엿볼 수 있다고 테크크런치(TechCrunch)는 지적했다. 일단 요청서를 통해 사법 기관이 아마존으로부터 얻을 수 있는 정보는 다음과 같다고 한다. 즉 다음 정보들은 아마존이 사법 기관에 넘기는 것으로 추측할 수 있다.

1) 주문 번호
2) 아마존 에코 및 파이어 장비의 일련번호
3) 신용카드 세부 정보
4) 은행 계좌 정보
5) 상품권 번호
6) 배송 번호
7) 사회 보장 번호
8) AWS 계정과 연결된 기록들

사법 기관의 요청문을 접수받기 위한 포털을 마련한 회사는 아마존만이 아니다. 구글, 트위터, 페이스북과 같은 기업들도 비슷한 장치를 마련해 사법 기관들과 협조 관계를 이루고 있다. 다만 계정 관리가 무엇보다 철저해야 하는데, 이 점이 잘 지켜지고 있지 않다는 게 이따금씩 지적되고 있는 상황이다. 이번 아마존 포털의 양식 역시 로그인 없이 제출할 수 있다는 게 문제시 되는 부분이다.

9월 초에는 또 다른 매체인 머더보드(Motherboard)에서도 페이스북이 마련한 경찰용 포털을 로그인 없이 활용할 수 있다는 보도가 나왔었다. 그러면서 “가짜 요청을 끊임없이 보냄으로써 실제 수사 진행을 더디게 하거나, 시스템 부작용을 일으켜 민감한 정보를 확보하게 될 수도 있다”고 경고했었다.

3줄 요약
1. IT 업체들이 마련하고 운영하는 경찰용 포털의 계정 관리 문제 지적됨.
2. 이번 달에만 페이스북과 아마존의 사법 기관용 포털에서 ‘로그인 없이 요청 제출 가능’ 문제 제기됨.
3. 그 자체로 정보가 노출되는 것은 아니나, 가짜 요청을 스팸처럼 보낼 수 있어서 위험할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)