By Matt Burgess, WIRED US
어디로 접속해야 하는지 알고 있다면, 온라인에서 수많은 비밀을 발견할 수 있다. 2021년 가을부터 빌 데미르카피(Bill Demirkapi)라는 개인 연구원이 종종 여러 연구원이 간과하는 방식으로 거대한 데이터 소스에 접근할 방법을 직접 구축하여 보안 문제를 대거 발견했다. 데미르카피 연구원이 발견한 문제 중에는 패스워드, API 키, 인증 토큰 등 개발자의 비밀 자동 발견 사항도 있다. 사이버 범죄 세력이 기업 시스템에 접근하여 데이터를 탈취할 때 악용할 수도 있는 비밀이다.
데미르카피 연구원은 2024년 8월, 라스베이거스에서 개최된 데프콘 보안 콘퍼런스에 참석하여 기업 비밀을 발견한 연구 결과를 발표하면서 유출된 다량의 비밀과 포괄적인 웹사이트 취약점을 상세히 설명했다. 소프트웨어에 변경 사항 없이 유지된 개발자 비밀 최소 1만 5,000건 중 데미르카피 연구원이 발견한 정보 중에는 네브라스카주 대법원과 대법원의 IT 시스템과 연결된 사용자 이름, 비밀번호 수백 개, 스탠퍼드대학교 슬랙 채널 접속 상세 정보, 오픈AI 고객 소유 API 키 수천 개가 포함되었다.
주요 스마트폰 제조사와 핀테크 기업 고객, 시가총액 수십억 달러를 기록한 사이버 보안 기업을 포함한 여러 기업이 의도치 않게 기업 비밀을 외부에 노출된 상태로 방치했다. 데미르카피 연구원은 온라인에 기업 비밀이 대거 유출된 상태를 막고자 자동으로 상세 정보를 얻는 문제를 중단하도록 해킹하여 악의적인 의도로 접근한 해커가 비밀 정보를 사용하지 못하도록 했다.
데미르카피 연구원은 두 번째 연구 단계에서 데이터 소스를 스캔하여 하위 도메인 문제를 허술하게 방치하여 정보 탈취 등 각종 공격에 취약한 상태인 웹사이트 6만 6,000곳을 발견했다. 데미르카피 연구원이 연구 과정에서 취약점을 발견한 웹사이트 중에는 뉴욕타임스 소유 개발자 도메인 등 세계 최대 규모 웹사이트도 여러 곳이 있었다.
데미르카피 연구원이 발견한 문제 모두 연구원 사이에서 널리 알려진 문제이다. 데미르카피 연구원은 보통 다른 목적으로 보유한 데이터세트를 실행하여 수천 가지 문제를 대거 발견하고는 웹사이트를 전반적으로 보호할 잠재적인 예방 대책이 있다고 설명했다. 이어, “사소한 취약점을 대규모로 발견할 방법을 찾는 것이 연구 목적이었다. 참신한 해결책의 필요성과 실제 노력 간 격차가 있다고 생각한다”라고 말했다.
유출된 비밀, 취약한 웹사이트
개발자가 우연히 기업 비밀을 소프트웨어나 코드에 포함하는 일은 비교적 사소한 일이다. 클라우드 보안 기업 위즈(Wiz) 인공지능(AI) 및 위협 연구 부사장 아론 쉰델(Alon Schindel)은 개발자가 의도치 않게 소프트웨어 개발 과정에 포함하거나 노출하는 비밀이 매우 많다고 말한다. 의도치 않게 유출되는 정보에는 패스워드, 암호화 키, API 접근 토큰, 클라우드 공급사 비밀, TLS 인증서 등이 있다.
쉰델 부사장은 “디지털 인증 확인과 비밀 노출 시 수많은 적이 권한 없이도 기업 코드 베이스와 데이터베이스, 기타 민감한 디지털 인프라에 접근할 수 있다는 사실이 비밀이 소프트웨어나 코드에 삽입되었을 때 발생하는 가장 심각한 위험이다”라고 말했다.
위험성은 높은 편이다. 비밀 정보 노출 시 데이터 보안 침입, 해커의 네트워크 침입, 공급망 공급 등과 같은 문제가 발생할 수 있다. 2019년, 깃허브에서 매일 비밀 유출 사례 수천 건이 발생한다는 연구 논문이 발표된 것을 예시로 언급할 수 있다. 비밀 스캔 툴이 존재하지만, 대부분 특정한 대상을 공격 대상으로 삼을 뿐 포괄적인 웹을 공격하지는 않는다.
10대였던 2019년, 학교 소프트웨어 노출 위험성을 발견한 학생으로 처음 유명해진 데미르카피 연구원은 연구 도중 비밀 키를 대규모로 찾으려 했다. 특정 기업을 표적으로 삼은 뒤 해당 기업의 비밀을 찾으려는 별도의 공격 방안을 모색하는 해킹 수법과는 반대이다. 이 과정에서 데미르카피 연구원은 구글이 소유한 개발자의 파일 업로드 지원 웹사이트인 바이러스토탈(VirusTotal)을 실행하고는 잠재적인 멀웨어 스캔 작업을 진행했다.
바이러스토털의 레트로헌트(Retrohunt) 기능은 업로드 파일 1년 치를 스캔하고는 데이터의 특수 패턴을 보는 규정을 활용한다. 데미르카피 연구원은 “스캔 툴과 바이러스토탈에 게재된 다량의 데이터를 다른 목적으로 이용한다면, 비밀 정보를 발견할 수 있다”라고 설명했다. 데미르카피 연구원은 서버가 없는 복잡한 설정을 활용하여 비밀 데이터 샘플 150만 건을 스캔한 뒤 활성화 비밀 키의 패턴을 발견했다. 만료되지 않은 비밀과 키를 판단하고자 API를 실행했다. 결과적으로 데미르카피 연구원은 1만 5,000건이 넘는 비밀 데이터를 발견했다.
온라인에 노출된 키 상당수는 해커가 민감 데이터 수집 등 기업과 기관의 디지털 자산 접근 권한을 손에 넣을 의도로 악용할 수도 있는 정보였다. 예를 들어, 네브라스카주 대법원 관계자가 법원 IT 시스템과 연결된 사용자 이름과 패스워드 상세 정보 입력 사항과 스탠퍼드대학교 슬랙 채널 정보 모두 API 키를 활용하여 접근할 수 있다.
네브라스카주 법원 관리자 코리 R. 스틸(Corey R. Steel)은 노출된 상세 정보 모두 즉시 변경했다고 밝히며, 온라인에 노출되었던 상세 정보 악용을 확인할 만한 증거가 없다고 답변했다. 또, 비슷한 문제가 반복되는 일을 막고자 정책도 변경했다고 전했다. 스탠퍼드대학교는 와이어드의 의견 공개 요청에 답변하지 않았다. 다만, 와이어드가 입수한 언론 보도 내용을 통해 스탠퍼드대학교 측이 문제 보고 이후 문제를 신속하게 수정했음을 알 수 있었다.
데미르카피 연구원은 수동 DNS 복제 데이터도 샅샅이 살펴보면서 하위 도메인 문제가 심각한 웹사이트를 검색했다. 보안 취약점이 있는 웹사이트는 신원 사칭 문제가 발생하여 멀웨어나 피싱 페이지 배치, 쿠키 탈취 등 각종 보안 공격에 악용될 수 있다. 팔로알토 네트웍스(Palo Alto Networks) 수석 연구 관리자 리우다이핑(Daiping Liu) 연구원은 “보안이 취약한 도메인 문제는 널리 확산된 문제이다. 해커가 사이버 공격으로 충분히 노릴 수 있는 표적을 손쉽게 찾을 수도 있다”라고 전했다. 리우 연구원은 한 번에 보안 취약점 기록 수만 개가 유출될 수 있다고 언급하며, 상위 도메인은 관리가 비교적 어려운 데다가 인간의 오류가 포함될 확률이 높다는 점에서 더 민감하다고 덧붙였다.
데미르카피 연구원은 뉴욕타임스 생성 도메인에 “미국, 긴장 고조 속 러시아와의 전쟁 선포…국제사회에 충격 전달”이라는 제목의 설득력이 매우 높은 풍자적 기사 한 편을 일시적으로 게재했다. 데미르카피 연구원의 기사는 일주일 뒤 삭제되었다. 뉴욕타임스 대변인은 의견 공개 요청에 응하지 않았다.
데미르카피 연구원은 특정 도메인을 살펴보거나 문제를 체계적으로 발견할 수 있는 도메인 세트를 보는 대신 보안 허점이 있는 클라우드 자원에서 표적을 찾기 시작할 수 있다고 설명했다. 데미르카피 연구원은 최상위 도메인 6만 6,000곳과 연결된 허점이 있는 클라우드 자원 7만 8,000개 이상 발견했다. 데미르카피 연구원은 수동 DNS 복제 데이터를 이용한 비슷한 기법을 다룬 학술 연구를 언급하면서 URL에서 시작한 차이점으로 훨씬 더 많은 문제를 발견할 수 있었다고 밝혔다.
쉽지 않은 문제 수정
웹사이트 취약점과 노출된 비밀 데이터를 대거 발견하는 일은 문제를 다룰 작업 중 하나이다. 보안 문제 수정이라는 다른 작업도 필요하다. 데미르카피 연구원은 취약점을 발견한 모든 웹사이트에 도메인 문제를 경고할 수 없었다고 전했다. 데미르카피 연구원은 웹사이트 코드에 삽입된 1만 5,000건의 비밀 데이터 노출 문제를 간신히 수정했다.
데미르카피 연구원은 비밀 노출 피해가 발생한 일부 기업에 직접 문제를 보고했다. 그러나 기업 비밀 정보 노출 사실을 더 효율적으로 보고할 방법을 확인하고자 고객에게 인증 정보를 제공하는 기업에 의존하기도 했다. 2024년 2월, 데미르카피 연구원은 온라인에 노출된 오픈AI API 키 1,000개 이상 발견했다. 오픈AI는 데미르카피 연구원에게 온라인에 노출된 상세 정보를 자동으로 제거할 수 있는 공개자가 서비스 API 키를 제공했다. 오픈AI 대변인 니코 펠릭스(Niko Felix)는 API가 보안 침해 상태가 탐지된 모든 키를 자동 비활성화하여 고객 데이터를 안전하게 보호한다고 안내했다.
반대로 문제 수정이 원활하지 않았던 때도 많았다. 총 4억 2,000만 개가 넘는 코드 저장소 호스팅 서비스를 제공하는 깃허브는 지난 몇 년간 자사 웹사이트에 등록된 토큰과 키를 탐지하는 비밀 스캔 툴을 운영했다. 깃허브는 외부 기업 여러 곳과 협력 관계를 체결하여 온라인에 노출된 키를 보고하고는 제거할 수도 있도록 노력했다. 2024년 3월, 데미르카피 연구원이 깃허브 측에 비밀 노출 사항 보고를 통해 신속하게 경고를 전할 수 있는 공개적으로 사용 가능한 엔드포인트가 있는지 문의했다. 깃허브 대변인은 개인에게 제공하는 시스템이 없다고 답변했다.
이후 아마존 웹 서비스(AWS)로 향했으나 AWS는 기존 개인 보고 툴 접근 권한 제공 요청을 거부했다. AWS 대변인 아이샤 존슨(Aisha Johnson)은 “보안 키를 포함한 고객 기밀 정보는 고객 개인 단독 소유라고 믿는다. AWS는 외부 사용자에게 보안 정책 위반과 고객 신뢰 저하 가능성이 있는 보안 키 관리 혹은 제거 접근 권한을 제공하지 않는다”라고 답변했다. 보안팀에 메일을 보내면, 고객에게 노출된 키 문제를 AWS 내부에서 인지했는지 알려줄 수 있다고 추가로 전했다.
데미르카피 연구원은 접근 제한 사항을 우회하고자 깃허브에 접속하고는 깃허브에 노출된 비밀 데이터를 업로드하기 시작하면서 기업 비밀 스캔을 진행하고는 문제를 보고했다. 데미르카피 연구원은 “대중에게 데이터가 전혀 노출되지 않도록 할 방법을 발견했다”라며, 노트에 비밀 정보 업로드와 함께 자신이 해킹한 자동화 방식을 설명했다.
결과적으로 데미르카피 연구원은 연구를 통해 작은 결실을 맺었다. 그는 “소프트웨어에 고정된 비밀 데이터나 자원의 보안 문제 포함 여부를 탐지하면서 발견한 문제는 매우 사소한 취약점이다”라며, 빅데이터 소스를 조사할 때 더 복잡한 취약점을 발견할 수도 있다고 말했다. 보안 문제를 수정하도록 도움을 줄 수 있으나 아직 조사가 진행되지 않은 데이터베이스가 다수 존재할 수도 있다. 이에, 데미르카피 연구원은 “대규모 데이터 소스를 활용하여 이례적인 방식으로 보안 문제를 수정할 방법을 찾는 것을 더 생각할 필요가 있다”라는 견해를 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Thousands of Corporate Secrets Were Left Exposed. This Guy Found Them All
어디로 접속해야 하는지 알고 있다면, 온라인에서 수많은 비밀을 발견할 수 있다. 2021년 가을부터 빌 데미르카피(Bill Demirkapi)라는 개인 연구원이 종종 여러 연구원이 간과하는 방식으로 거대한 데이터 소스에 접근할 방법을 직접 구축하여 보안 문제를 대거 발견했다. 데미르카피 연구원이 발견한 문제 중에는 패스워드, API 키, 인증 토큰 등 개발자의 비밀 자동 발견 사항도 있다. 사이버 범죄 세력이 기업 시스템에 접근하여 데이터를 탈취할 때 악용할 수도 있는 비밀이다.
데미르카피 연구원은 2024년 8월, 라스베이거스에서 개최된 데프콘 보안 콘퍼런스에 참석하여 기업 비밀을 발견한 연구 결과를 발표하면서 유출된 다량의 비밀과 포괄적인 웹사이트 취약점을 상세히 설명했다. 소프트웨어에 변경 사항 없이 유지된 개발자 비밀 최소 1만 5,000건 중 데미르카피 연구원이 발견한 정보 중에는 네브라스카주 대법원과 대법원의 IT 시스템과 연결된 사용자 이름, 비밀번호 수백 개, 스탠퍼드대학교 슬랙 채널 접속 상세 정보, 오픈AI 고객 소유 API 키 수천 개가 포함되었다.
주요 스마트폰 제조사와 핀테크 기업 고객, 시가총액 수십억 달러를 기록한 사이버 보안 기업을 포함한 여러 기업이 의도치 않게 기업 비밀을 외부에 노출된 상태로 방치했다. 데미르카피 연구원은 온라인에 기업 비밀이 대거 유출된 상태를 막고자 자동으로 상세 정보를 얻는 문제를 중단하도록 해킹하여 악의적인 의도로 접근한 해커가 비밀 정보를 사용하지 못하도록 했다.
데미르카피 연구원은 두 번째 연구 단계에서 데이터 소스를 스캔하여 하위 도메인 문제를 허술하게 방치하여 정보 탈취 등 각종 공격에 취약한 상태인 웹사이트 6만 6,000곳을 발견했다. 데미르카피 연구원이 연구 과정에서 취약점을 발견한 웹사이트 중에는 뉴욕타임스 소유 개발자 도메인 등 세계 최대 규모 웹사이트도 여러 곳이 있었다.
데미르카피 연구원이 발견한 문제 모두 연구원 사이에서 널리 알려진 문제이다. 데미르카피 연구원은 보통 다른 목적으로 보유한 데이터세트를 실행하여 수천 가지 문제를 대거 발견하고는 웹사이트를 전반적으로 보호할 잠재적인 예방 대책이 있다고 설명했다. 이어, “사소한 취약점을 대규모로 발견할 방법을 찾는 것이 연구 목적이었다. 참신한 해결책의 필요성과 실제 노력 간 격차가 있다고 생각한다”라고 말했다.
유출된 비밀, 취약한 웹사이트
개발자가 우연히 기업 비밀을 소프트웨어나 코드에 포함하는 일은 비교적 사소한 일이다. 클라우드 보안 기업 위즈(Wiz) 인공지능(AI) 및 위협 연구 부사장 아론 쉰델(Alon Schindel)은 개발자가 의도치 않게 소프트웨어 개발 과정에 포함하거나 노출하는 비밀이 매우 많다고 말한다. 의도치 않게 유출되는 정보에는 패스워드, 암호화 키, API 접근 토큰, 클라우드 공급사 비밀, TLS 인증서 등이 있다.
쉰델 부사장은 “디지털 인증 확인과 비밀 노출 시 수많은 적이 권한 없이도 기업 코드 베이스와 데이터베이스, 기타 민감한 디지털 인프라에 접근할 수 있다는 사실이 비밀이 소프트웨어나 코드에 삽입되었을 때 발생하는 가장 심각한 위험이다”라고 말했다.
위험성은 높은 편이다. 비밀 정보 노출 시 데이터 보안 침입, 해커의 네트워크 침입, 공급망 공급 등과 같은 문제가 발생할 수 있다. 2019년, 깃허브에서 매일 비밀 유출 사례 수천 건이 발생한다는 연구 논문이 발표된 것을 예시로 언급할 수 있다. 비밀 스캔 툴이 존재하지만, 대부분 특정한 대상을 공격 대상으로 삼을 뿐 포괄적인 웹을 공격하지는 않는다.
10대였던 2019년, 학교 소프트웨어 노출 위험성을 발견한 학생으로 처음 유명해진 데미르카피 연구원은 연구 도중 비밀 키를 대규모로 찾으려 했다. 특정 기업을 표적으로 삼은 뒤 해당 기업의 비밀을 찾으려는 별도의 공격 방안을 모색하는 해킹 수법과는 반대이다. 이 과정에서 데미르카피 연구원은 구글이 소유한 개발자의 파일 업로드 지원 웹사이트인 바이러스토탈(VirusTotal)을 실행하고는 잠재적인 멀웨어 스캔 작업을 진행했다.
바이러스토털의 레트로헌트(Retrohunt) 기능은 업로드 파일 1년 치를 스캔하고는 데이터의 특수 패턴을 보는 규정을 활용한다. 데미르카피 연구원은 “스캔 툴과 바이러스토탈에 게재된 다량의 데이터를 다른 목적으로 이용한다면, 비밀 정보를 발견할 수 있다”라고 설명했다. 데미르카피 연구원은 서버가 없는 복잡한 설정을 활용하여 비밀 데이터 샘플 150만 건을 스캔한 뒤 활성화 비밀 키의 패턴을 발견했다. 만료되지 않은 비밀과 키를 판단하고자 API를 실행했다. 결과적으로 데미르카피 연구원은 1만 5,000건이 넘는 비밀 데이터를 발견했다.
온라인에 노출된 키 상당수는 해커가 민감 데이터 수집 등 기업과 기관의 디지털 자산 접근 권한을 손에 넣을 의도로 악용할 수도 있는 정보였다. 예를 들어, 네브라스카주 대법원 관계자가 법원 IT 시스템과 연결된 사용자 이름과 패스워드 상세 정보 입력 사항과 스탠퍼드대학교 슬랙 채널 정보 모두 API 키를 활용하여 접근할 수 있다.
네브라스카주 법원 관리자 코리 R. 스틸(Corey R. Steel)은 노출된 상세 정보 모두 즉시 변경했다고 밝히며, 온라인에 노출되었던 상세 정보 악용을 확인할 만한 증거가 없다고 답변했다. 또, 비슷한 문제가 반복되는 일을 막고자 정책도 변경했다고 전했다. 스탠퍼드대학교는 와이어드의 의견 공개 요청에 답변하지 않았다. 다만, 와이어드가 입수한 언론 보도 내용을 통해 스탠퍼드대학교 측이 문제 보고 이후 문제를 신속하게 수정했음을 알 수 있었다.
데미르카피 연구원은 수동 DNS 복제 데이터도 샅샅이 살펴보면서 하위 도메인 문제가 심각한 웹사이트를 검색했다. 보안 취약점이 있는 웹사이트는 신원 사칭 문제가 발생하여 멀웨어나 피싱 페이지 배치, 쿠키 탈취 등 각종 보안 공격에 악용될 수 있다. 팔로알토 네트웍스(Palo Alto Networks) 수석 연구 관리자 리우다이핑(Daiping Liu) 연구원은 “보안이 취약한 도메인 문제는 널리 확산된 문제이다. 해커가 사이버 공격으로 충분히 노릴 수 있는 표적을 손쉽게 찾을 수도 있다”라고 전했다. 리우 연구원은 한 번에 보안 취약점 기록 수만 개가 유출될 수 있다고 언급하며, 상위 도메인은 관리가 비교적 어려운 데다가 인간의 오류가 포함될 확률이 높다는 점에서 더 민감하다고 덧붙였다.
데미르카피 연구원은 뉴욕타임스 생성 도메인에 “미국, 긴장 고조 속 러시아와의 전쟁 선포…국제사회에 충격 전달”이라는 제목의 설득력이 매우 높은 풍자적 기사 한 편을 일시적으로 게재했다. 데미르카피 연구원의 기사는 일주일 뒤 삭제되었다. 뉴욕타임스 대변인은 의견 공개 요청에 응하지 않았다.
데미르카피 연구원은 특정 도메인을 살펴보거나 문제를 체계적으로 발견할 수 있는 도메인 세트를 보는 대신 보안 허점이 있는 클라우드 자원에서 표적을 찾기 시작할 수 있다고 설명했다. 데미르카피 연구원은 최상위 도메인 6만 6,000곳과 연결된 허점이 있는 클라우드 자원 7만 8,000개 이상 발견했다. 데미르카피 연구원은 수동 DNS 복제 데이터를 이용한 비슷한 기법을 다룬 학술 연구를 언급하면서 URL에서 시작한 차이점으로 훨씬 더 많은 문제를 발견할 수 있었다고 밝혔다.
쉽지 않은 문제 수정
웹사이트 취약점과 노출된 비밀 데이터를 대거 발견하는 일은 문제를 다룰 작업 중 하나이다. 보안 문제 수정이라는 다른 작업도 필요하다. 데미르카피 연구원은 취약점을 발견한 모든 웹사이트에 도메인 문제를 경고할 수 없었다고 전했다. 데미르카피 연구원은 웹사이트 코드에 삽입된 1만 5,000건의 비밀 데이터 노출 문제를 간신히 수정했다.
데미르카피 연구원은 비밀 노출 피해가 발생한 일부 기업에 직접 문제를 보고했다. 그러나 기업 비밀 정보 노출 사실을 더 효율적으로 보고할 방법을 확인하고자 고객에게 인증 정보를 제공하는 기업에 의존하기도 했다. 2024년 2월, 데미르카피 연구원은 온라인에 노출된 오픈AI API 키 1,000개 이상 발견했다. 오픈AI는 데미르카피 연구원에게 온라인에 노출된 상세 정보를 자동으로 제거할 수 있는 공개자가 서비스 API 키를 제공했다. 오픈AI 대변인 니코 펠릭스(Niko Felix)는 API가 보안 침해 상태가 탐지된 모든 키를 자동 비활성화하여 고객 데이터를 안전하게 보호한다고 안내했다.
반대로 문제 수정이 원활하지 않았던 때도 많았다. 총 4억 2,000만 개가 넘는 코드 저장소 호스팅 서비스를 제공하는 깃허브는 지난 몇 년간 자사 웹사이트에 등록된 토큰과 키를 탐지하는 비밀 스캔 툴을 운영했다. 깃허브는 외부 기업 여러 곳과 협력 관계를 체결하여 온라인에 노출된 키를 보고하고는 제거할 수도 있도록 노력했다. 2024년 3월, 데미르카피 연구원이 깃허브 측에 비밀 노출 사항 보고를 통해 신속하게 경고를 전할 수 있는 공개적으로 사용 가능한 엔드포인트가 있는지 문의했다. 깃허브 대변인은 개인에게 제공하는 시스템이 없다고 답변했다.
이후 아마존 웹 서비스(AWS)로 향했으나 AWS는 기존 개인 보고 툴 접근 권한 제공 요청을 거부했다. AWS 대변인 아이샤 존슨(Aisha Johnson)은 “보안 키를 포함한 고객 기밀 정보는 고객 개인 단독 소유라고 믿는다. AWS는 외부 사용자에게 보안 정책 위반과 고객 신뢰 저하 가능성이 있는 보안 키 관리 혹은 제거 접근 권한을 제공하지 않는다”라고 답변했다. 보안팀에 메일을 보내면, 고객에게 노출된 키 문제를 AWS 내부에서 인지했는지 알려줄 수 있다고 추가로 전했다.
데미르카피 연구원은 접근 제한 사항을 우회하고자 깃허브에 접속하고는 깃허브에 노출된 비밀 데이터를 업로드하기 시작하면서 기업 비밀 스캔을 진행하고는 문제를 보고했다. 데미르카피 연구원은 “대중에게 데이터가 전혀 노출되지 않도록 할 방법을 발견했다”라며, 노트에 비밀 정보 업로드와 함께 자신이 해킹한 자동화 방식을 설명했다.
결과적으로 데미르카피 연구원은 연구를 통해 작은 결실을 맺었다. 그는 “소프트웨어에 고정된 비밀 데이터나 자원의 보안 문제 포함 여부를 탐지하면서 발견한 문제는 매우 사소한 취약점이다”라며, 빅데이터 소스를 조사할 때 더 복잡한 취약점을 발견할 수도 있다고 말했다. 보안 문제를 수정하도록 도움을 줄 수 있으나 아직 조사가 진행되지 않은 데이터베이스가 다수 존재할 수도 있다. 이에, 데미르카피 연구원은 “대규모 데이터 소스를 활용하여 이례적인 방식으로 보안 문제를 수정할 방법을 찾는 것을 더 생각할 필요가 있다”라는 견해를 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Thousands of Corporate Secrets Were Left Exposed. This Guy Found Them All
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다