2024-03-28 19:55 (목)
美 방위 산업체, 아마존 클라우드에 암호 없이 기밀 데이터 저장
상태바
美 방위 산업체, 아마존 클라우드에 암호 없이 기밀 데이터 저장
  • hsk 기자
  • 승인 2017.06.02 14:46
이 기사를 공유합니다

encryption-2.jpg
보안 업체 UpGuard의 사이버 위협 분석가인 Chris Vickery는 지난 5월 24일, 아마존 웹 서비스의 S3 스토리지에 공개적으로 접근할 수 있는 데이터 캐시를 발견했다. 여기에는 기밀 정보가 포함되어 있었다고 외신이 보도했다.

해당 캐시는 국방 정보국 계약자인 Booz Allen Hamilton과 연결된 계정에 게시되었다. 내부 파일들은 미군의 전장 위성 및 드론 감시 영상 제공 기관인 미국 지리 정보국(NGA, National Geospatial-Intelligence Agency)과 연결되어 있었다.

S3 ‘bucket’에 연결된 서버에 있는 도메인 등록 데이터를 기반으로, 데이터는 명백히 Booz Allen과 Metronome이라는 다른 계약자와 연결되어 있었다. 또한 데이터 캐시는 Booz Allen Hamilton 엔지니어의 하나 이상 시스템에 대한 원격 로그인 SSH 키와 로그인 정보들이었다.

UpGuard는 이 데이터가 일급 기밀 수준까지도 분류되었을 수 있다고 말한다. 이에 Booz Allen 대변인은 데이터가 기밀 시스템과 관련이 없다고 말했지만, 저장소에 포함된 기밀 자료들을 통해 코드 저장소를 포함한 더 중요한 데이터에 접근할 수 있었다. 또한 NGA 대변인은 성명을 통해 기밀 데이터는 공개되지 않았고 저장소가 기밀 네트워크와 직접 연결되어있지 않다고 말했다.

데이터 캐시를 찾았을 때 Vickery는 즉시 Booz Allen Hamilton의 정보보안 담당자에게 이메일을 보냈지만 응답을 받지 못했고, 다음날 NGA에 연락하자 9분만에 저장소에 대한 접근이 차단되었다고 한다.

NGA 대변인은 공식 성명에서 “NGA는 민감하지만 기밀이 아닌 정보의 유출을 심각하게 받아들이고 영향을 받은 인증들을 철회했다”고 밝혔다. Booz Allen Hamilton의 보안팀은 5월 25일 오후 8시에야 Vickery에 응답하고 위반 사실을 확인했다.

Booz Allen Hamilton은 지난 몇년간 여러가지 보안 허점으로 문제를 겪어왔다. 가장 유명한 사실은 에드워드 스노든이 Booz Allen Hamilton 직원이었다는 것이다. 최근에는 다른 Booz Allen Hamilton 직원 Hal Martin은 최근 민감한 데이터 절도로 체포되었다.

NGA는 기밀로 분류되지 않은 작업들을 위해 아마존 클라우스 서비스를 사용해왔다. 2015년에는 NGA가 Esri와 Lockheed Martin과 계약하여, 아마존의 상업용 클라우드를 사용하는 Esri의 ArcGIS 지형 공간 정보 시스템을 기반으로 하는 포털을 만들었다. 아마존 웹 서비스는 또한 민감한 정부 응용 프로그램을 처리하기 위한 GovCloud 서비스도 제공한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★