Offcanvas

CSO / 보안 / 분쟁|갈등 / 비즈니스|경제

트위치 데이터 유출 사건의 교훈 '최소 권한 관리의 중요성'

2021.10.18 Christopher Burgess   |  CSO
귀중한 사내 정보를 외부에 노출하고 싶어하는 회사는 없을 것이다. 그런데 바로 그런 일이 아마존 소유의 온라인 스트리밍 플랫폼 트위치(Twitch)에 닥쳤다. 10월 6일 125GB에 달하는 트위치 데이터가 영어권 온라인 커뮤니티 포챈(4Chan)에 게시된 것이다.

트위치는 트위터를 통해 데이터 유출 사실을 인정했다. 10월 6일 블로그 게시물에서 트위치는 “트위치 서버 설정 변경 후 악성 서드파티 공격이 이루어졌다”고 설명했다. 125GB의 민감한 내부 정보가 게시된 사태의 원인으로 악의적인 내부자가 아닌 외부 서드파티를 지목한 것이다.
 
ⓒ Valery Brozhinsky / Getty Images

그러면 정확히 어떤 데이터가 유출돼 온라인에 게시된 것일까? 데이터 유출 사태를 최초 보도한 비디오 게임 크로니클(Video Games Chronicle)에 따르면 유출된 데이터 내역은 다음과 같다. 
 
  • 커밋 이력이 “초창기까지 거슬러 올라가는” 트위치 소스 코드 일체
  • 2019년부터의 콘텐츠 창작자 지급 내역 보고서
  • 모바일, 데스크톱, 콘솔 트위치 클라이언트
  • 트위치에서 사용하는 내부 AWS 서비스 및 특허 SDK
  • “트위치가 소유한 그 밖의 모든 자산” (IGDB와 커스포지(CurseForge) 포함)
  • 아마존 게임 스튜디오(Amazon Game Studios)의 미공개 스팀 경쟁 서비스(코드명 베이퍼(Vapor))
  • 트위치 내부 레드팀 구성 도구

트위치 측은 10월 7일 불가피하게 모든 사용자의 스트림 키를 업데이트했다. 이후 트위치 공식 블로그는 감감무소식 상태다.
 

최소 권한 접근의 중요성

서버 구성 오류로 인해 트위치의 중요 정보가 뚫린 이번 사건은 최소 권한 접근이라는 기본 개념을 둘러싼 의문을 제기한다. 사이뮬레이트(Cymulate) 사이버 에반젤리스트 데이비드 클라인은 CISO가 “소스 코드, 스트리머에 대한 회계 기록, 암호화된 비밀번호, 밸브의 스팀에 대항하는 비공개 프로젝트를 비롯한 모든 것을 접근 가능하게 한 것은 좋은 생각은커녕 오히려 최악에 가깝다. 관리자를 위한 기본적인 최소 권한, 내부 분할, 그리고 데이터가 어디 있고 누구에게 접근권이 있는지 파악하는 것은 무엇보다 중요하다”고 지적했다.
 
  • 외부자가 내부를 바라보는 관점을 적용하면서 CISO는 다음과 같은 질문을 던져야 한다.
  • 귀중한 사내 데이터가 적절히 보호되고 있는가?
  • 보안보다 접근 용이성을 우선시한다는 클라인의 지적이 우리 회사에도 해당되는가?
  • 사내 데이터는 암호화되어 있으며 키는 증명된 접근권이 있는 직원에게 그 접근이 필요한 경우에만 제공되는가?

액티브 사이퍼(Active Cypher) CEO 마이클 퀸은 “사용자의 데이터는 시장에서 매우 가치있는 재화다. 따라서 도난과 오용이 없도록 보호하는 작업도 데이터 생성 시점에 개시되어 데이터와 함께 움직여야 한다”고 말했다. “데이터라는 시장의 통화가 평가절하되면 회사 브랜드와 고객, 신뢰가 모두 위태로워진다. 일례로 데이터가 ‘정지’를 끝내고 다시 움직이는 동안에는 완전한 디스크 암호화는 사용자를 보호해 주지 않는다. 데이터 생애주기에는 암호화가 필요한 상태가 많다(정지 상태, 이동 상태, 보관 상태, 사용 중 또는 생성 중 상태 등)는 사실을 이해해야 한다.”

퀸은 “종단간 암호화 아키텍처는 움직이는 표적이고, 종점은 위치나 장치 또는 서비스가 아닌 데이터다. 자사 통화/데이터 암호화를 넘어서 해당 통화가 비밀 비트의 형태로라도 이동하는 것을 허용하는 위험을 없앨 수 있는가? 그 프로세스는 존재한다. 그리고 이 프로세스를 적용하면, 통화/데이터 생애주기의 안전뿐 아니라 통화/데이터 생애주기가 ‘안전한 데이터 공급망’의 소유와 관리를 보장할 수 있다”라고 조언했다.

트위치는 이제 소스 코드 내 미해결 취약점이 후속 공격을 노리는 공격자에게 탐지될 위험과 가급적 빨리 위험을 경감해야 한다는 현실에 직면해 있다.

트위치 서버 구성 사태는 모든 조직 생태계에 있는 기기와 머신이 어떤 위험을 야기할 수 있는지를 드러낸다. 소프트웨어 엔지니어링, UX, 생산, 회계, 고객 관리 등 다양한 전문 분야에 걸친 수많은 데이터가 노출돼 버렸다. 즉, 누구라도 노출 데이터를 들여다 보고 트위치와 그 내부 프로세스, 절차, 데이터 분할 규칙을 알 수 있게 된 것이다.

클라인은 많은 CISO의 우려를 대변하며 “내부자 소행이 아니라면 상황은 더 심각하다”고 경고했다. 트위치를 해킹한 ‘악의적 서드파티(외부 또는 내부자)’가 어떻게 트위치 생태계에 침입할 수 있었는지는 아직 공개되지 않았다. 침입 방법이 공개되면 모든 CISO가 중요한 교훈으로 삼아야 할 것이다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.