Sunday, June 4, 2017

미 국방부 계약자, 민감한 정보를 암호 없이 아마존 클라우드에 유출


지난 주 미 국방부 (DoD) 산하의 국가지리정보국 (NGA)과 관련된 6만개 이상의 파일, 약 28 GB의 데이터가 아마존 퍼블릭 클라우드, AWS의 S3 (클라우드 스토리지)에 있는 것을 UpGuard 라는 스타트업 보안업체의 보안위협분석가가 발견하였다.

이 자료들은 미 국방부와 계약을 맺고 있는 부즈앨런해밀턴에서 유출한 것이며, 기밀 자료는 아니지만 최고 보안 등급의 미 국방부 펜타곤 시스템에 접근하는데 이용할 수 있는 암호 등을 포함하고 있어서 큰 충격을 주고 있다. 해당 분석가는 자택에서 퍼블릭 클라우드를 스캔하던 중에 발견했으며, 이 사실을 부즈앨런해밀턴과 국가지리정보국 (NGA)에 이메일로 알렸으며 9분 후에 외부 접근이 차단되었다고 한다. 하지만, 이런 민감한 자료들을 중국 등 미국과 대립관계에 있는 국가가 먼저 발견할 경우, 국가 안보에 크나큰 타격을 입을 수 있을 것이다.

국가지리정보국 (NGA)은 잘 알려지지 않은 베일 속의 정보기관이지만, 미국 중앙정보국(CIA), 국가안보국(NSA) 등과 함께 미국의 5대 정보기관 (Big Five spy agencies) 중에 하나이며, CIA 본부나 국회 의사당 건물보다도 큰 건물을 가지고 있다. 주요 임무로는, 전 세계 스파이 위성이나 드론을 통해 촬영된 수십억 장의 항공사진, 비디오 영상 등을 분석하고 이를 국방부나 첩보 기관에 제공하는 역할을 하고 있다. NGA는 빈 라덴 사살 작전에서도 배후에서 큰 역할을 수행한 것으로 알려져 있다. 또한, 부즈앨런해밀턴은 2013년 국가안보국(NSA)의 전방위 도청 및 사찰 의혹을 폭로했던 에드워드 스노든이 NSA가 해킹한 전세계 기기의 목록에 접근하기 위해서 취업했던 곳으로도 알려져있으며, ‘세계 최고의 수익성 높은 첩보 기관'으로 묘사되기도 한다.

아마존의 클라우드 서비스 (AWS)는 세계 최대 클라우드 서비스 업체로 작년에는 한국 데이터센터에 서울 리전 (Region)을 설치하여 한국 시장 공략에도 박차를 가하고 있다. 클라우드 서비스는 보안 측면에서 양면성을 가지고 있는데, 기업이나 기관이 데이터를 보유하지 않고 있기 때문에 통제성을 상실할 수 있고, 분산서비스공격 (DDoS) 같은 해킹 피해가 같은 리소스를 공유하는 다른 업체에 피해를 줄 수 있다. 반면에, 기업이 자체적으로 보안에 투자하는 것보다 훨씬 체계적으로 인프라를 관리하고 있기 때문에 더 안전하다는 의견도 있다. 실제로, 아마존 AWS 서비스는 계정관리, 접근제어, 컴플라이언스, 사용량 감사 등 보안 서비스를 제공하고 있으며, 경쟁사인 마이크로소프트의 클라우드 서비스인 애저(Azure)도 디스크 암호화, 키 관리, 스토리지 암호화 등 다양한 보안 서비스를 제공하며 클라우드 보안 투자와 서비스를 강화하고 있다.

미국에서는 기업 뿐만 아니라, 극비 정보를 가지고 있는 정보기관 마저도 클라우드로의 데이터 이전을 가속화하고 있다. 이미 미국 CIA는 아마존과 2013년 10년간 6억 달러 규모의 사설 클라우드를 구축하기로 한바 있다. 이번 사건으로 기업이나 기관들의 데이터가 클라우드로 이전되는 큰 흐름에 영향을 주지는 않겠지만, 클라우드 보안에 대한 경각심을 일깨워 주기에는 충분한 사건이다. 최근 몇 년간 ‘클라우드 보안 위협의 증가'는 보안업체들의 주요 보안 전망에 항상 빠지지 않고 등장하고 있으며, 기존 보안업체에 새로운 서비스 시장 창출을, 그리고 보안 관련 스타트업들에게도 매력적인 시장 영역이 되어 가고 있다.

클라우드 보안 위협의 핵심은 정보의 유출, 즉 데이터 보호이다. 하지만, 완벽한 철통 보안은 사실 상 불가능에 가깝다. 아무리 완벽하게 방어를 해도, 위의 사례처럼 내부의 누군가가 실수로 정보를 노출하거나 이메일 피싱 등의 지능적인 공격에 한번만 실수해도 수 년간 공들였던 철통보안은 한순간에 무너질 수 있다. 그래서, 정보가 유출이 되었을 때도 그 피해를 최소화할 수 있도록 암호화 하는 것이 클라우드 보안에서 매우 중요하다. 현재 클라우드, SaaS 보안 관련 업체들이 많이 탄생하고 있고 향후에도 관련 스타트업들이 대형 업체들에 인수, 합병되는 사례도 늘어날 것이다.


No comments:

Post a Comment