마이크로소프트가 지원팀과 고객간의 대화 로그를 저장하고 있는 서버를 잘못 구성해 고객 서비스 및 지원 기록 약 2억5천만건이 인터넷에 노출되는 사고가 발생했다.

지난 14년 동안 마이크로소프트 고객 지원을 요청한 적이 있다면 개인 정보와 질문 내용이 함께 유출되었을 가능성이 있다고 외신이 전했다.

이번 데이터베이스를 발견해 마이크로소프트에 신고한 보안 연구원 Bob Diachenko에 따르면, 이 로그는 2005년부터 2019년 12월까지의 기록을 포함하고 있는 것으로 조사됐다.

마이크로소프트는 블로그 게시물을 통해 2019년 12월 잘못 구성된 보안 룰이 서버에 추가되어 데이터가 노출되었으며, 엔지니어가 2019년 12월 31일 구성을 수정하기 전까지 쭉 노출된 상태였다고 밝혔다.

또한 마이크로소프트는 해당 데이터베이스에서 자동화된 툴을 이용해 표준 양식으로 작성되지 않은 정보를 제외한 고객 대부분의 개인 식별 정보를 삭제했다고 밝혔다.

하지만 제보자에 따르면, 노출된 데이터베이스에는 △이메일 주소 △IP 주소 △위치 △CSS 클레임 및 사례에 대한 설명 △마이크로소프트 지원 에이전트 이메일 △사건 번호, 해결책, 코멘트 △기밀로 표기된 내부 메모 등 고객 데이터를 읽을 수 있는 상태라고 전했다.

마이크로소프트는 “이 문제는 지원 사례 분석을 위해 사용한 내부 데이터베이스에 국한되어 있으며, 상용 클라우드 서비스에서 노출이 일어난 것은 아니다”라 밝혔다.

 

[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]

-주최: 데일리시큐

-후원: 정부 유관기관

-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명

-일시: 2020년 2월 5일 수요일

-장소: 한국과학기술회관 지하1층 대회의실

-참관비용: 11만원(VAT 포함)

-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★