Offcanvas

보안

2억 5,000만 건의 MS 고객기록 유출돼... 보안설정 오류가 원인

2020.01.28 Eleanor Dickinson  |  ARN
2억 5,000만 건의 마이크로소프트 고객기록이 보안설정 오류로 인해 유출됐다.이번 데이터 유출을 발견한 영국 보안업체 컴패리테크에 따르면 마이크로소프트의 고객 서비스 및 지원(CCS) 기록이 새해를 이틀 앞뒀던 30일 웹에 노출됐다. 

마이크로소프트는 이번 사건의 책임을 인정하면서, 12월 5일 네트워크 보안 그룹을 변경할 때 잘못 구성된 보안 규칙이 포함돼 고객기록 유출 사고가 발생했다고 설명했다. 
 
ⓒMicrosoft

유출된 고객기록은 2005년부터 2019년까지 총 14년간의 마이크로소프트 지원팀과 글로벌 고객 간 대화 로그를 포함한다. 

컴패리테크는 “누구든 웹 브라우저로 해당 기록에 접근 가능했다. 암호 및 기타 인증도 필요 없었다”라고 블로그를 통해 전했다. 

컴패리테크의 사이버보안 수석 연구원 밥 디아첸코가 12월 29일 마이크로소프트에 이를 알렸다. 마이크로소프트는 24시간 이내로 서버와 데이터를 보호하는 조치를 취했다. 해당 기록은 개인을 식별할 수 있는 정보를 포함하지 않았으며, 애저 클라우드 서비스에 영향을 미치진 않았다고 마이크로소프트는 밝혔다. 

컴패리테크에 의하면 유출된 기록에 고객과 상담원의 이메일 주소, IP 주소, 위치, ‘기밀’로 분류된 내부 메모 등이 포함된 것으로 확인됐다. 해당 기록 유출이 즉각적인 위험은 아니지만, 추후 영향을 과소평가해선 안 된다고 컴패리테크는 경고했다. 

특히 해당 기록은 마이크로소프트 직원을 사칭해 피싱이나 하이재킹 공격을 시도하려는 해커들에게 악용될 수 있다. 컴패리테크 연구원들은 벤더가 사전에 기술지원을 제공하는 경우는 없다고 강조하면서, 이메일이나 전화를 통한 기술 지원 사칭 사기를 조심하라고 당부했다. 

사고가 발생한 3주 후인 1월 22일 마이크로소프트는 자사 블로그에 공식 사과문을 게재하고 다음과 같이 발표했다. "이번 사건과 관련해 조사 내용을 투명하게 밝힐 것이며, 확실하게 책임을 지겠다. 그만큼 이번 사건의 심각성을 깊이 인식하고 있다."

이어서 마이크로소프트는 “보안 설정 오류는 업계에서 일반적인 문제다. 우리는 이런 오류를 예방할 보안솔루션을 가지고 있었지만, 해당 솔루션들이 이 데이터베이스에 대해 활성화되지 않았다. 우리가 이번 사건으로 몸소 깨달은 것처럼, 정기적으로 보안 구성을 검토하고 사용할 수 있는 보안 기능들이 제대로 동작하는지 확인해야 한다"라고 권고했다. 

또한 마이크로소프트는 추가 사고를 방지하기 위해 내부 네트워크 보안 규칙을 검토하고, 보안 규칙 오류를 감지하는 메커니즘 범위를 확장하겠다고 밝혔다. 규칙 오류를 경고하는 절차와 데이터 리덕션 자동화 시스템도 추가하겠다고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.