레드헌트 연구소의 사이버 보안 연구원들은 최근 메르세데스-벤츠에서 발생한 심각한 데이터 유출 사건을 공개했다.

이 연구소는 1월에 정기적인 인터넷 검색을 수행하던 중 우연히 메르세데스 벤츠 직원의 개인 키가 공개 깃허브에 실수로 액세스 가능한 상태로 남겨져 있는 것을 발견했다. 이 인증 토큰이 익스플로잇될 경우 메르세데스 벤츠의 깃허브 엔터프라이즈 서버에 무제한으로 액세스할 수 있는 권한이 부여되어 기밀로 보호되는 소스코드를 비롯한 회사 내부의 모든 것이 노출될 수 있는 가능성이 있었다.

레드헌트 랩스 관계자는 "깃허브 토큰은 내부 깃허브 엔터프라이즈 서버에 호스팅된 전체 소스코드에 대한 '무제한' 및 '모니터링되지 않는' 액세스 권한을 부여했다"고 설명했다. 리포지토리에는 지적 재산과 연결 문자열부터 클라우드 액세스 키, 청사진, 설계 문서, 싱글 사인온 비밀번호, API 키 및 기타 중요한 내부 데이터에 이르기까지 다양한 민감한 정보가 포함되어 있었다.

추가 조사 결과, 노출된 리포지토리에는 메르세데스의 소스코드뿐만 아니라 MS애저 및 AWS 자격증명, 데이터베이스, 기타 중요한 자산이 포함되어 있는 것으로 밝혀졌다. 이러한 데이터 유출의 영향은 소스코드의 손상을 넘어 클라우드 서비스 및 민감한 데이터베이스에 대한 무단 액세스로 이어질 수 있다.

메르세데스-벤츠는 레드헌트 랩스의 경고를 받은 후 위험을 완화하기 위해 신속하게 대응했다. 노출된 토큰을 취소하고 공개 리포지토리를 신속하게 제거했다.

조사 결과, 해당 토큰이 2023년 9월 말부터 온라인에 노출된 것으로 드러나면서 무단 액세스 기간이 꽤 길었던 것으로 드러났다. 그러나 메르세데스는 노출된 데이터에 대한 제3자의 액세스를 인지하고 있는지 또는 데이터 저장소에 대한 부적절한 액세스가 있었는지 확인할 수 있는 액세스 로그와 같은 기술적 능력이 있는지에 대해서는 확인을 거부했다.

자동차 산업이 커넥티드카와 자율주행차로 진화함에 따라 소스코드 보안이 무엇보다 중요해지고 있다. 제조업체는 사이버 위협에 대한 경계를 늦추지 말고 지적 재산뿐만 아니라 고객의 민감한 정보를 보호하기 위한 사전 예방적 조치를 취해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★