이 데이터는 아마존 웹 서비스(Amazon Web Services, AWS)의 심플 스토리지 서비스(Simple Storage Service, S3)에서 호스팅되는 데이터 베이스로, 민감한 정보가 공개적으로 접근 가능한 클라우드 서버에 잘못 연결되면서 데이터 베이스가 노출됐다.
1.1 테라바이트가 넘는 노출된 데이터에는 유권자들의 이름, 생년월일, 집 주소, 전화번호, 유권자 등록 정보 등의 개인 정보가 포함돼 있었다.
이 데이터에는 어떠한 보안 조치도 취해지지 않았으며 인터넷에 연결된 사람이라면 누구나 해당 내용을 다운로드할 수 있었다.
사이버 보안 업체 업가드(UpGuard)는 "이렇게 막대한 국가 데이터 베이스가 온라인 상에서 호스팅 및 공개되고 있는데 가장 간단한 보호 조치조차 시행되지 않은 것이 문제다. 또 이런 정보를 수집하고 저장하면서 보안에 신경을 쓰지 않는다면 시민들은 민간 기업이나 정치 캠페인의 책임에 의문을 가질 것"이라고 말했다.
다른 사이버 보안 전문가도 정보를 클라우드로 마이그레이션할 때 고객이 더 많은 정보를 얻고 합당한 의사 결정을 내리도록 해야 한다고 강조했다.
한 전문가는 "단순히 이번 사건뿐만이 아니라 모든 클라우드 서비스에 적용되는 것이다. 특히 오피스 365를 사용하는 많은 조직이 클라우드로 이동하고 있는데, 보안 서비스를 고려하지 않는 경우가 있다. 이런 사건은 순식간에 발생한다"고 말했다.
이번 사건의 규모보다 클라우드 보안이 훨씬 더 광범위한 문제다. 점점 더 많은 중소기업이 비용 및 효율성을 위해 클라우드로 마이그레이션하고 있는데, 이들이 보안 문제를 인식하지 못하고 있다는 것이다.
업가드는 "이런 사건이 발생할수록 조직이나 기업에 대한 신뢰가 떨어진다. 하지만 이해 관계자들이 데이터 수집 및 저장에 대한 모범 사례를 따른다면 유사한 사고를 예방할 수 있다"고 전했다.
클라우드 플랫폼의 잘못된 구성 문제는 드문 일이 아니다. 클라우드 보안 회사인 쓰레트스택(Threat Stack)의 조사에 따르면 73%의 기업에서 SSH 연결과 관련된 가장 일반적인 구성 오류가 하나 이상, 또는 심각한 보안 구성 오류가 발견됐다.
이러한 문제를 방지하기 위해 기업들은 적절한 액세스 제어 및 암호화를 구현해야 한다. 또 직원 교육을 실시하고 클라우드 주변에 추가적인 보안 장치를 마련해야 한다.
