2024-03-29 06:50 (금)
지난해 유권자 데이터 베이스 정보 누출 이후 클라우드 보안 중요성 증대
상태바
지난해 유권자 데이터 베이스 정보 누출 이후 클라우드 보안 중요성 증대
  • 정원석 기자
  • 승인 2018.05.25 17:44
이 기사를 공유합니다

1.jpg
▲투표함 이미지(출처=위키미디어 커먼스)
지난해 미국에서 방대한 양의 유권자 데이터 베이스가 유출되면서 미국 정부와 수많은 기업이 클라우드 보안의 중요성을 다시 깨달았다.

지난 6월 미국 공화당 전국 위원회(RNC)는 딥 루트 애널리틱스(Deep Root Analytics)가 아마존 웹 서비스(AWS) 서버에 보유하고 있던 약 1억 9,800여 명의 데이터 베이스를 저장했다는 사실을 시인했다.

이것은 미국 전체 유권자의 60%에 달한다.

업가드(UpGuard)의 사이버 위험 분석가 크리스 비커리는 AWS 서버에 있는 유권자들의 데이터 베이스 정보가 보호받지 않은 채 RNC로 연결됐다고 설명했다.

이 사건과 마찬가지로 잘못 구성된 클라우드 기반 스토리지 서버에서 데이터 유출 사건이 계속해서 발생하고 있다.

설상가상으로 업가드에 따르면 RNC로 유출된 유권자 데이터 베이스 정보에는 2012년 오바마와 롬니의 잠재적 유권자, 2016년 트럼프와 클린턴의 잠재적 유권자, 유권자들의 교육 수준 등의 정보가 들어있다. 또 이 유권자들이 오바마케어나 화석 연료 사용, 인프라 투자, 불법 이민 저지 등의 법안에 찬성과 반대 중 어느 쪽에 투표할지 예측한 데이터가 포함돼 있다.

클라우드 컴퓨팅 보안 회사인 브라켓 컴퓨팅(Bracket Computing)의 애덤 콘웨이에 따르면 이 사건으로 인해 클라우드 스토리지 자원을 구성하는 것이 얼마나 쉬운지 알 수 있으며 그 결과 중요하고 민감한 자산이 위험에 빠진다.

한편 비커리는 유권자 데이터 베이스 유출 사건이 발생하기 전에 이와 비슷하게 보호받지 않은 AWS 파일 저장소를 발견했다. 이 저장소에는 정부 관련 서비스 업체인 부즈 앨런 해밀턴(Booz Allen Hamilton, BAH)의 정보가 저장돼 있었다.

공용 클라우드는 셀프 서비스이며 관리자 계정 액세스 권한을 가진 사람이 개인 정보 설정을 변경할 수 있다. 즉 개발자나 관리자가 실수로 서버를 공개 설정할 수 있는 것이다. 그러면 다른 사람들이 이 데이터에 액세스하거나 악의적으로 응용 프로그램을 구성하기가 더 쉽다. 셀프 서비스인만큼 이런 사고를 예방하기가 어렵기 때문에 정부 기관이나 기업은 클라우드 데이터 유출에 취약해진다.

예를 들어 특정 조직 내부의 악의적인 행위자가 클라우드에 저장된 정보를 공개할 수 있기 때문이다. 결국 오늘날처럼 데이터가 범람하는 시대에 인터넷에 연결된 시스템과 기밀 정보를 다루는 조직들은 위험에 처해있을 수밖에 없다.

조직 및 기업들은 네트워크 트래픽 인텔리전스를 제공하는 뛰어난 모니터링 시스템을 갖추는 것뿐만 아니라 이런 사건이 발생했을 때 어떻게 대처하고 조사해야 하는지에 관한 규정을 만들어야 한다.

RNC의 유권자 데이터 유출 문제는 단순한 문제가 아니다. 다른 정부 기관 또한 이런 문제에 직면할 가능성이 높다. 거의 대부분의 정부 기관이 외부 계약 업체와 협력해 데이터를 관리하기 때문이다.

따라서 중요한 데이터를 관리하는 조직과 기업은 인터넷에 연결된 데이터는 모두 취약한 것으로 간주하고 보안 대책을 세워야 한다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★