19일(현지시간) 인가젯, IT프로 등 IT 전문 매체들에 따르면 MS의 한 AI 연구원이 실수로 38테라바이트에 달하는 회사 데이터를 외부로 노출시킨 사실이 드러났다. 이 연구원은 MS의 클라우드 서비스인 애저의 스토리지 계정에 접근할 수 있는 링크를 외부에 공유했다. 그런데 애저에 저장된 데이터를 공유할 수 있는 링크를 잘못 설정한 게 문제였다.
이 문제를 발견한 클라우드 보안기술 기업 위즈(Wiz)의 전문가들은 "MS의 AI 연구팀이 지나치게 허용적인 URL을 개발자 커뮤니티인 깃허브 리포지토리에 업로드했다"면서 "그 결과 누구나 개인정보에 접근할 수 있게 됐다"고 밝혔다.
이 사고로 노출된 데이터에는 직원 업무용 기기 두 대의 전체 백업 데이터가 포함됐는데, 이 두 기기에는 MS서비스 비밀번호, 개인 키, 3만 개 이상의 내부 MS 팀즈 메시지 기록 등의 데이터가 포함돼 있었다. MS 팀즈는 MS가 제공하는 영상회의 및 협업서비스다.
MS AI 연구팀은 플랫폼 활동의 일환으로 커뮤니티가 사용할 수 있도록 오픈소스 교육 데이터에 대한 링크를 정기적으로 제공하는데, 문제가 된 링크는 잘못 구성된 애저 데이터 저장공간으로 연결되도록 돼 있어 더 많은 개인 데이터에 액세스할 수 있었다.
MS 연구원들은 사용자가 스토리지 계정에서 데이터에 액세스하고 공유할 수 있게 해주는 '애저 SAS(공유 액세스 서명)' 토큰을 사용해 파일을 공유한 것으로 밝혀졌다.
일반적으로 SAS 토큰은 권한이 없는 사용자가 파일에 액세스하는 것을 막는다. 하지만 이 경우 저장된 데이터에 대한 URL에 전체 계정의 사용자가 접근할 수 있도록 설정돼 있었다.
위즈 관계자는 "(MS) 연구원들은 애저 스토리지 계정에서 데이터를 공유할 수 있는 SAS 토큰이라는 애저 기능을 사용해 파일을 공유했다"고 설명했다. 이어 "접근 수준은 특정 파일로 제한할 수 있지만, 이 경우에는 38테라바이트의 비공개 파일을 포함해 전체 스토리지 계정을 공유하도록 링크가 구성됐다"고 밝혔다.
위즈의 조사에 따르면 최초 사고는 2020년 7월에 발생했으며, 올해 6월에야 발견됐다. 3년 동안 상황을 전혀 알지 못했다. 위즈 연구원들이 이 문제를 발견한 후 MS에 알렸다. 그 후 MS는 고객에게 잠재적 위험이 미쳤을 가능성에 대한 조사를 실시했다.
MS는 이번 사고와 관련해 "고객 데이터가 노출됐다는 증거는 없다"고 밝혔다. 이어 "이 문제로 인해 다른 내부 서비스가 위험에 처하지도 않았다"고 덧붙였다.
MS 측은 "한 연구원이 오픈소스 AI 학습모델에 기여하는 과정에서 실수로 블롭 스토어 URL에 이 SAS 토큰을 포함시켰고, 해당 URL을 공개 깃허브 리포지토리에 제공했다"고 인정했다. 다만 애저 저장소나 SAS 토큰 기능에는 보안 문제나 취약점이 없었다고 설명했다.
위즈는 이번 사건은 SAS 토큰과 관련해 보다 강력한 거버넌스와 모니터링 체계의 필요성을 시사한다고 지적했다.
그러면서 MS가 토큰을 관리하는 '중앙 집중식 방법'을 제공하지 않기 때문에 팀이 토큰을 추적하는 데 어려움을 겪을 수 있어 보안 위험이 존재한다고 짚었다.
위즈는 "모니터링 및 거버넌스가 부족하기 때문에 SAS 토큰은 보안 위험을 초래하며, 가능한 한 사용을 제한해야 한다"면서 "이러한 토큰은 MS가 애저 포털 내에서 중앙집중식으로 관리할 수 있는 방법을 제공하지 않기 때문에 추적하기가 매우 어렵다"고 했다.
이러한 토큰은 만료 시간 상한 없이 사실상 영원히 지속되도록 구성할 수 있는 만큼 외부 공유에 계정 SAS 토큰을 사용하는 것은 안전하지 않으므로 피해야 한다는 주문이다
MS 측은 "이 사건을 계기로 SAS 토큰 관리 프로세스를 재평가했다"면서 "SAS 토큰 기능을 더욱 강화하기 위해 지속적으로 개선하고 있으며, 기본적으로 보안 태세를 강화하기 위해 서비스를 계속 평가하고 있다"고 말했다.
뉴스팀
윤석열 당선무효, 3억7천만원 정치자금법 위반 혐의 
편집인
