Offcanvas

CSO / 검색|인터넷 / 라이프 / 보안

블로그 | 기업의 텍스트 보안이 얼마나 허술할 수 있냐면...

2019.12.20 Evan Schuman  |  Computerworld
오늘날 흔한 통신 방법 중 하나는 문자 메시지다. 모바일 시대를 열었고, 모바일의 본질에 가장 가까운 통신 수단이라고 표현할 수도 있겠다. 방대한 양의 문자 메시지가 평범한 텍스트 파일로 저장되고 있었음을 지적한 보안 연구 기업의 발표가 불편하게 들리는 이유다. 

간략히 설명하면 다음과 같다. 보안 연구 기관인 VPN 멘토(VPNMentor)에 따르면 “수천 만명의 사람들”이 작성한 문자 메시지가 누구나 볼 수 있도록, 즉 도둑이나 스토커도 볼 수 있도록 공개돼 있었다. 저장 주체는 텍사스 오스틴에 기반한 트루다이얼로그(TrueDialog)라는 SMS 마케팅 기업이었다. 

VPN멘토가 게재한 보고서 사본에는 이번에 발견된 트루다이얼로그 데이터베이스에 대한 상세한 정보가 담겨 있다. 보고서에서 확인할 수 있는 문단으로는 다음과 같은 것들이 있다. 

“트루다이얼로그 데이터베이스는 마이크로소프트 애저에서 호스팅되며, 미국 내 오라클 마케팅 클라우드에서 실행된다. 이 데이터베이스에는 최종 확인한 순간 604GB의 데이터가 담겨 있었으며, 여기에는 10억 개에 이르는 민감한 데이터 항목이 포함돼 있었다. 수백 만 개의 이메일 주소, 사용자 이름, 텍스트 형태의 비밀번호, 베이스64(base64)로 인코딩된 비밀번호(쉽게 해독 가능) 등의 정보에 쉽게 접근할 수 있었다.”

“이뿐만이 아니다. 데이터베이스에는 내부 시스템 에러 로그와 각종 사이트의 http 요청 및 응답 정보가 있었다. 해당 사이트의 트래픽을 누구나 쉽게 볼 수 있었다는 의미다. 취약점을 포착할 수 있게 해주는 정보들이기도 하다.”

“계정 자격 증명은 평범한 텍스트 형태로 존재하고 있었다. 이는 데이터베이스에 액세스한 모든 사람이 계정을 보유한 기업에 로그인하고 암호를 변경할 수 있었다는 의미다. 자칫 큰 손실로 이어질 수 있었다.”

“산업 스파이라면 경쟁 기업이 보낸 기밀 메시지를 쉽게 읽었을 수도 있다. 마케팅 캠페인, 신제품 출시 날짜, 신제품 디자인 또는 사양 등의 정보가 담긴 메시지다.”

“트루다일러로그 사용자의 잠재 고객과 관련된 누출 또한 있었다. 외부 기업으로부터 잠재 고객에 대한 정보를 구매하는 기업이 이러한 정보를 분실한다면 막대한 대가를 치러야 할 수도 있다.”
 
ⓒ Image Credit : Getty Images Bank

VPN멘토는 트루다이얼로그에 연락했지만, 응답해오지 않았으며, 이내 문제의 데이터베이스에 대한 접근이 차단됐다고 전했다. 컴퓨터월드가 확인을 위해 트루다이얼로그 사이트에 접근한 결과, 관련 답변은 존재하지 않았다. 대신 회사의 강력한 보안 메커니즘을 선전하는 흥미로운 섹션을 볼 수 있었다. 

사이트의 마케팅 페이지인 ‘인핸스드 시큐리티’라는 이름의 헤더 아래에는 다음과 같은 문구들이 있었다.

“네이티브 SMS 통합의 또 다른 이점은 보안 강화 및 데이터 액세스 제어 향상이다. 대규모 조직을 위한 구축된 구축된 엔터프라이즈 급 SMS 문자 메시지 기능은 시스템 관리를 보다 쉽게 해준다. 다른 마이크로소프트 애플리케이션과 동일 보안 프로토콕ㄹ을 이용하기 때문에 데이터 보안 위반 또는 격리 문제가 최소화된다.”

“특히 중요하게도 데이터가 의심스러운 서드파티 서버에 저장되지 않는다.”

“온프레미스 MS 다이나믹스 설치는 로컬 데이터 처리 및 스토리지 서버를 사용한다. 동시에 클라우드 기반 설정은 마이크로소프트의 신뢰할 수 있고 매우 안전한 네트워크에 존재한다.”

“관리자는 중요한 데이터가 보호되고 항상 사용 가능하다는 것을 쉽게 알 수 있기에 안심할 수 있다.”

정말일까? 이 마케팅 기업의 고객들은 자신들의 민감한 데이터가 전세계에 열린 상태였다는 점을 알고도 안심할 수 있을까? 무덤 속에서 ‘안심’하라는 뜻은 아니었을지 의문스러울 지경이다. 

이번 폭로가 시사하는 문제는 크게 3가지다. 먼저 외주 기업의 보안 실태를 확인하지 않고 텍스트 업무를 처리하도록 맡기는 고객 기업들이 존재한다. 둘째, 소비자들은 미지의 기업이 제공하는 서비스를 이용하고 있으며, 이 미지의 기업에 대해 어느 정도 신뢰한다. 그럼에도 불구하고 미지의 회사는 책임을 지지 않는다. 그리고 셋째, 보안 의무를 저버린 기업에 대해 정부는 별다른 페널티를 가하지 않는다. 

사실 꽤나 실망스러운 사건이다. 브랜드 평판을 쉽사리 믿지 않고 자신의 정보를 삭제하라고 요청하는 소비자/학생들을 고려하라. 이번과 같은 끔찍한 상황은 기업의 보안 실태에 대한 불신 풍조를 더욱 조장할 것이다. 저장된 데이터를 암호화하고 일부 암호를 추가하는 게 그토록 버거운 작업인가? 

* Evan Schuman는 컴퓨터월드 객원 칼럼니스트다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.