지난 몇 년간 여러 기업이 데이터를 클라우드에 보관할 때, 간단한 설정 오류가 주요 공격 노출 원인이 되었다. 클라우드 인프라에 저장된 정보 접근 권한을 신중하게 제한하는 대신 여러 기관은 종종 방어 조치를 잘못 구성했다. 집안의 창문이나 현관문을 열어둔 채로 오랜 휴가를 떠나는 것과 다를 바 없는 행동이다. 유출된 데이터 문제는 일반적으로 뉴스에서 대중의 주목을 받는 웹 서비스 이외에도 적용되는 문제이다. 모바일 보안 기업 짐페리움(Zimperium)이 데이터 노출 문제가 iOS와 안드로이드에서도 주로 발생하는 문제라는 사실을 발견했다.
짐페리움은 총 130만 개가 넘는 안드로이드 및 iOS 앱을 대상으로 자동화 분석 기능을 실행해, 유출된 데이터에서 공통적인 클라우드 구성 오류를 감지했다. 짐페리움 연구팀은 안드로이드 앱 8만 4,000여 개와 iOS 앱 4만 7,000여 개가 자체 서버 운영 방식과 달리 아마존 웹 서비스, 구글 클라우드, 마이크로 애저 등 공공 클라우드 서비스를 백엔드에 사용한다는 사실을 확인했다. 그중, 연구팀은 보안 구성이 잘못된 앱 14%(안드로이드 앱 1만 1,877개, iOS 앱 6,608개)가 사용자 개인 정보와 패스워드, 심지어 의료 정보까지 유출하고 있다는 것을 발견했다.
짐페리움 CEO 쉬리다르 미탈(Shridhar Mittal)은 “매우 화가 나는 추세이다. 상당수 앱이 개발자나 보안 구성 담당자가 제대로 구성하지 않은 클라우드 저장소를 사용한다. 이 때문에 누구나 사용자 데이터를 볼 수 있다. 그리고, 일부 앱은 대다수 스마트폰 사용자가 당장 사용하고 있는 앱이다”라고 말했다.
연구팀은 클라우드 유출 문제를 발견한 극소수 앱 제조사에 연락했으나 앱 제조사 측은 모두 사소한 문제라고 주장했으며, 여전히 다수 앱이 유출된 데이터를 지니고 있다. 이 때문에 짐페리움은 보고서를 통해 데이터 유출 문제가 발생한 앱 이름을 명시하지 않았다. 또, 연구팀은 앱 개발자 수만 명을 밝힐 수 없었다. 그러나 미탈은 짐페리움이 조사한 앱에는 사용자 수가 적게는 수천 명, 많게는 수백만 명까지 보유한 앱이 포함됐다고 말한다. 문제가 되는 앱 중 하나는 포춘 500대 기업에 이름을 올린 모바일 지갑 서비스 기업이 제공하는 앱이며, 일부 사용자 세션 정보와 금융 데이터를 유출하고 있다. 또 다른 앱은 어느 한 대도시의 대중교통 앱으로, 결제 데이터를 유출하고 있다. 게다가 연구팀은 검사 결과가 포함된 의료 앱과 심지어 사용자 프로필 이미지를 누구나 볼 수 있도록 유출된 앱도 발견했다.
[사진=Freepik]
짐페리움 측은 클라우드 구성 문제를 지닌 앱 2만여 개를 발견한 사실 때문에 해커가 이미 데이터 유출 사실을 발견하고 이를 악용한 적이 있는지 개인적으로 평가하지 않았다. 그러나 이와 같은 데이터 유출 사실은 짐페리움이 연구를 위해 사용한 것과 똑같이 공개적으로 사용할 수 있는 정보를 악용해, 발견하기 쉽다. 여러 해커 조직이 이미 공개적으로 접근할 수 있는 정보를 스캔해 여러 웹 서비스의 클라우드 구성 문제를 찾고 있다. 미탈의 설명에 따르면, 연구팀은 데이터가 유출된 앱 저장소에서 사용자 민감 데이터에 이어 네트워크 기밀 정보와 시스템 구성 파일, 서버 구조 키 등 해커가 잠재적으로 악용해 피해 기관의 디지털 시스템에 더 깊이 접근할 수 있다는 사실도 확인했다.
게다가 연구팀은 일부 구성 문제 때문에 사이버 범죄 집단이 겹쳐 쓴 데이터를 변경하고 사기 및 데이터 파괴와 같은 추가적인 위험을 일으킬 수 있다는 사실을 발견했다.
아마존 웹 서비스와 같은 주요 클라우드 서비스 제공 업체는 발생할 수 있는 구성 오류를 적극적으로 감지하고 고객에게 이를 알리지만, 궁극적으로는 개발자와 IT 관리자가 의도적으로 설정이 되었는지 확인하기 위해 점검하는 것에 달려있다.
오랫동안 iOS 보안 연구원으로 활동한 가디언 방화벽 앱 제작자인 윌 스트라파(Will Strafach)는 “구성 오류가 만연한 문제라는 사실은 매우 타당한 주장이다. 이미 아마존 웹 서비스 버킷의 보안 위험성을 초래할 수 있는 허가 행위와 데이터를 유출하는 여러 VPN 노드를 발견했다. 또, 끔찍한 보안 문제가 있다는 사실을 알아야 할 여러 기업이 제작한 앱도 여럿 발견했다”라고 말했다.
짐페리움은 구글 앱 방어 동맹 계획(App Defense Alliance initiative)에 참여하는 모바일 보안 기업 세 곳 중 한 곳으로, 구글 플레이 스토어 보안을 위해 자동화된 앱 스캐닝 작업을 한다. 미탈은 짐페리움이 앱 방어 동맹 작업을 위해 연구팀이 클라우드 구성 문제 조사에 사용한 것과 똑같은 툴을 사용한다고 언급했다. 그러나 앱 방어 동맹을 위해 스캔 작업을 할 때, 짐페리움은 우연한 데이터 유출 문제보다는 잠재적인 악성 기능을 조사한다.
미탈은 모바일 클라우드 구성 문제 인식을 제기하는 것이 여러 개발자가 인프라를 더 자세히 살펴보고, 보안을 위해 약간의 변화를 주는 계기가 되기를 바란다. 그러나 기관 내 보안 구성 담당자에게 제대로 연락하기 매우 어렵다는 사실, 그리고 여러 기업이 앱 개발 작업을 외주로 맡긴다는 사실을 고려했을 때, 문제를 해결하는 데 시간이 걸릴 전망이다.
미탈은 “사용자의 개인 식별 정보와 의료 정보, 검사 결과, 연락처, 그리고 특정 계정의 패스워드까지 유출될 수 있다. 그리고, 기업도 똑같이 데이터 유출 문제를 겪을 수 있다. 해커가 유출된 정보를 수집해, 더 깊은 곳까지 침투해 사이버 공격을 개시할 수 있다”라고 경고했다.
구축하기 어려운 보안 보호 기능이 매우 많으며, 여러 기관은 의도적으로 올웨이즈 온 시스템(always-on systems) 패치 작업 혹은 취약한 하드웨어 교체와 같은 작업을 의도적으로 기피할 수 있다. 그러나 클라우드 구성 문제의 경우, 대다수 앱은 일부 박스를 점검해 데이터 프라이버시와 보안을 대대적으로 개선하기만 하면 된다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202103/2976_3968_4126.jpg)
뉴스레터 신청