'세계 5위' 서비스 업체의 황당 보안사고··· "직원 암호·프로젝트 현황 온라인 노출"

IT 서비스 업체인 HCL이 직원의 계정 패스워드를 온라인에 그대로 노출하는 사고를 일으켰다. 뿐만 아니라 고객사 프로젝트에 대한 상세한 내용 등 다른 민감한 정보도 무방비 노출됐다. 보안 컨설팅 업체 업가드(UpGuard)가 밝혀낸 것으로, 어떤 인증 절차 없이 이들 정보에 접근할 수 있었던 것으로 나타났다. HCL은 에베레스트 그룹이 꼽은 '2019 올해의 10대 IT 서비스 업체 순위'에서 5위를 기록한 유명 기업이다.

업가드에 따르면, HCL HR 포탈은 신규 직원의 이름과 사용자명, 암호 등을 텍스트 형태로 그대로 인터넷에 노출했다. 업가드의 제품 담당 부사장 그렉 폴락은 "가장 심각한 점은 HR 포탈을 통해 공개됐고, 신규 직원에 대한 정보가 포함됐다는 점이다. 이들은 너무나 명백한 활성 사용자이기 때문이다. 우리가 이런 사실을 확인할 때까지 54명의 정보가 그대로 온라인에 게시돼 있었다"라고 말했다.
 

이번에 노출된 신규 직원 데이터에는 다양한 부가 정보가 포함돼 있었다. 신원 ID, 이름, 휴대폰, 입사일, 근무지, 리크루트 담당자 SAP 코드, 리크루트 담당자 이름, 작성 날짜, 사용자명, 단순 텍스트 형태의 암호, BGV(Background Verification) 상태, 제안 수락 여부, 지원 양식으로의 링크 등이다.

이런 정보는 더 민감한 시스템에 대한 접속 권한을 획득하기 위해 HCL 시스템에 로그인하는 데 악용될 수 있다. 신규 직원의 이메일 계정을 가로채거나, 사내 다른 사람이나 HCL의 고객에게 합법적으로 보이는 피싱 이메일을 보내는 데도 쓰일 수 있다. 폴락은 "(나는 물론 테스트해보지 않았지만) 해커가 이들 암호를 이용해 로그인할 수도 있다"라고 말했다(공개된 데이터를 테스트하는 것은 합법이지만 승인되지 않은 접속은 컴퓨터 사기 및 남용방지법(CFAA) 위반일 가능성이 있다).

이번 사고로 노출된 것은 이뿐만이 아니다. HCL과 고객사에 속한 지적자산(IP)도 일부 공개됐다. 일반적으로 프로젝트 진행 상황은 영업비밀로 본다. IT 아웃소싱 업계는 경쟁이 매우 치열해 단순히 HCl이 작업 중이라는 것 자체도 경쟁사에 좋은 정보가 된다.

업가드에 따르면, 노출된 신규 직원의 암호는 임의로 만들어진 것으로 보인다. 폴락은 "이 암호는 충분히 복잡하지만 이미 온라인에 누구나 볼 수 있도록 공개됐다. 이들은 스포티파이 사용자가 IT 실무자다. 즉, HCL의 고객을 지원하는 사람들을 위한 직원용 기업 계정이라는 것이 중요하다"라고 말했다. 더구나 이번 노출 사고는 HCL의 경쟁사인 와이프로(Wipro)의 대규모 보안 사고에 뒤이어 발생했다. 와이프로의 시스템이 해킹돼 와이프로의 고객사에 대한 공격에 악용된 것이다. 단, 이번 HCL 사고의 경우 아직 해커가 유출된 HCL 직원 계정을 이용해 HCL 고객사를 공격했다는 증거가 확인되지 않았다.

HCL 고객사 프로젝트 세부 정보도 노출
한편 이번 노출 사고로 프로젝트 세부 정보를 고객과 실시간으로 공유하는 HCL의 스마트매니지(SmartManage) 포탈도 영향을 받았다. 여기에는 2000개가량의 고객 리스트가 있는데 이중 상당수가 포천 선정 1000대 기업이다. 이 2000개의 드롭다운 메뉴를 클릭하면 프로젝트의 세부 정보를 볼 수 있었다. 여기에는 내부 분석 보고서, 주간 보고서, 설치 보고서 등 고객의 민감한 정보가 포함돼 있었다.
 

이들 프로젝트 보고서를 보면 각 고객 사이트의 현재 상황을 한눈에 알 수 있다. 프로젝트 매니저에게 가치 있는 정보로, 해커에게도 마찬가지일 수 있다고 업가드 보고서는 지적했다. 대표적인 경우가 인디아스테이트은행(SBI)이다. 현재 인도 내에 수많은 ATM을 설치, 관리하는 프로젝트를 진행 중이다. 이들 ATM은 VSAT(Very Small Aperture Terminal) 위성 안테나로 연결된다. HCL의 스마트매니저를 보면 이 ATM에서 발생한 5,700건가량의 구체적인 사고 보고서는 물론 서비스 윈도우 업타임 리포트도 올라와 있다.
 

HCL 서브도메인 역시 직원 2,800명의 이름과 SAP 코드를 노출했다. 여기에는 공개적으로 접속할 수 있는 웹 애플리케이션도 포함됐는데, 이를 이용하면 사용자가 직원을 검색해 '비활성화'하는 것도 가능하다. 단, 업가드는 법적인 이유로 이 기능이 실제로 작동하는지 확인하지 않았다고 밝혔다.

GDPR의 위력
이 사건의 놀라운 시사점 중 하나는 GDPR의 중요성을 다시 확인한 점이다. 즉 HCL DPO(data protection officer)의 상세한 연락처가 홈페이지에 게재돼 있었다. 덕분에 업가드가 데이터 노출 상황을 더 쉽게 회사에 알릴 수 있었다.

HCL은 업가드의 경고에 대답하지 않았지만 이 데이터는 24시간 후부터 일반 공개되지 않도록 상태가 변경됐다(HCL은 CSO의 취재에도 응하지 않았다). 폴락은 "연구자가 발견한 것을 알리고 조처할 수 있는 사람을 찾는 것은 매우 중요한 문제다. HCL은 이 부분에 있어 절차를 잘 만들어놨다. 일부 기업은 이런 점에서 매우 부족하다"라고 말했다.

이번 사고의 근본 원인은 HCL 서브도메인에 대한 권한 관리에 실패했기 때문으로 보인다. 폴락은 "HCL은 권한 관리를 페이지를 기준으로 페이지마다 설정했는데 이는 보안 관리 측면에서 매우 취약한 방식이다. 매번 권한을 설정해야 상황이 되면 아무도 하지 않기 때문이다. 실제로 이번 경우가 딱 그런 사례다"라고 말했다. ciokr@idg.co.kr