AI 연구원들 실수, MS “고객 데이터 침해없어” 황급히 해명
“SAS토큰의 과도한 액세스 범위, 모든 스토리지 계정 접근이 문제”
[애플경제 김향자 기자] 마이크로소프트 AI 연구원들이 한때 실수로 38TB의 데이터가 유출되었던 사실이 뒤늦게 알려졌다. 마이크로소프트는 18일(현지 시각) “애저 스토리지 노출이 있긴 했지만, 이로 인해 고객 데이터가 영향을 받지 않았으며 '이 문제로 인해 위험에 처한 다른 내부 서비스는 없다”고 공지했다.
“깃 허브, 오픈소스 데이터 버킷 게시 과정서 노출”
월스트리트저널, 테크타깃 등에 따르면 클라우드 보안 공급업체인 위즈(Wiz)는 “가장 먼저 마이크로소프트에 고용된 AI 연구원이 실수로 노출한 38TB의 개인 마이크로소프트 데이터를 발견했다”면서 자사의 발견한 사실을 마이크로소프트와 함께 블로그 게시물에 게시했다.
위즈(Wiz)의 보안 연구원들에 의하면, “마이크로소프트의 AI 연구팀은 깃허브(GitHub)에 오픈 소스 교육 데이터 버킷을 게시하는 동안 실수로 38TB의 개인 데이터를 노출했다”면서 “노출된 데이터에는 직원 워크스테이션 두 대의 디스크 백업과 비밀번호, 개인 키 및 3만개 이상의 내부 ‘마이크로소프트 팀즈’ 메시지가 포함되었다”고 전했다.
위즈는 또 “AI 연구원들이 데이터를 공유하고 공유 권한을 관리하는 데 사용되는 애저 스토리지의 서명된 URL인 ‘공유 액세스 서명(SAS) 토큰’을 사용하여 파일을 공유했기 때문에 데이터가 노출되었다”고 지적했다. 본래 공유 권한은 파일별로 엄격하게 제한될 수 있지만, “링크의 경우 추가 38TB의 개인 파일을 포함하여 전체 스토리지 계정을 공유하도록 구성되어있기 때문”이란 설명이다.
또한 SAS토큰은 과도하게 허용되는 액세스 범위 외에도 ‘읽기 전용’ 대신 ‘완전한 제어’ 권한을 허용하도록 잘못 구성된 것도 문제라는 지적이다. “즉, 공격자는 스토리지 계정의 모든 파일을 볼 수 있을 뿐만 아니라 기존 파일을 삭제하고 덮어쓸 수도 있다”는 것이다.
“SAS토큰, 주의깊게 관리할 필요”
다시 말해 SAS 토큰은 부적절한 권한으로 인해, 민감한 데이터에 대한 상당한 액세스를 제공할 수 있으므로 주의 깊게 관리하지 않으면 보안 위험이 따를 수 밖에 없다는 지적이다. 또한 보안 공급업체인 ‘Orca Security’가 6월에 언급한 것처럼 위협 행위자는 노출된 클라우드 자산을 단 몇 분 만에 발견할 수도 있다.
위즈(Wiz)는 또 클라우드 보안 공급업체에 대한 정기적인 인터넷 검색 중에 마이크로소프트 소유 ‘깃허브’ 저장소로 노출된 데이터에 대한 링크를 발견하기도 했다.
이 회사의 연구 책임자인 셔 타마리는 “‘과도하게 허용되는 토큰’이 지난 3년 동안 ‘깃허브’에서 공개적으로 액세스할 수 있어 누구나 찾을 수 있게 되어있다”고 테크타깃에 밝혔다.
그는 “위협 행위자는 이 데이터에 접근하기 위해 심층적인 기술 전문 지식이 없어도 된다. 사실 누구나 이를 악용할 수 있는 수준”이라고 경고했다.
위즈(Wiz)는 블로그 게시물에 이같은 SAS 토큰 사용에 따른 보안 위험을 공유했다. 마이크로소프트 보안 대응 센터도 같은 날 이같은 데이터 유출에 관한 블로그 게시물을 게시했다. 그러면서 “일단 문제를 해결했으며, 고객 데이터가 유출되지 않았고, 별도의 고객 조치가 필요하지 않으며, 이로 인해 내부 서비스가 위험에 처하지도 않았다”고 안심시켰다.
보안업체 ‘위즈’가 지난 6월 처음 발견, 통보
이같은 유출이 확인된 것은 지난 6월 22일인 것으로 전해졌다. 당시 이를 처음 발견한 ‘위즈’ 연구팀이 MSRC(Microsoft 보안 대응 센터)에 상황을 알렸다. 통보를 받은 MSRC는 관련 연구 및 엔지니어링 팀과 협력하여 ‘SAS 토큰’을 취소하고 스토리지에 대한 모든 외부 액세스를 차단했다. 그리곤 이틀 후 문제를 완전해 해결한 것으로 알려졌다.
마이크로소프트는 “그런 다음 고객이나, 비즈니스 연속성에 대한 잠재적인 영향을 이해하기 위해 추가 조사가 실시되었다”면서 “당시 조사 결과 이러한 유출로 인해 고객에게 위험이 없다는 결론을 내렸다.”고 밝혔다.
마이크로소트트 측은 또 ‘위즈’가 발견한 것 이외의 데이터 유출이 있는지에 관한 ‘테크타깃’의 질문에 대해 “조사 결과, 의도하지 않은 어떠한 접속도 발생한 사례는 확인되지 않았다”고 밝혔다.
SAS토큰, 중국 기반 ‘Storm-0558’에도 뚫려
앞서 마이크로소프트는 중국 기반 사이버 공격자인 ‘Storm-0558’로 인해 잘못 구성된 SAS 토큰 및 데이터 유출 사태를 겪기도 했다. 마이크로소프트는 당시에도 “‘Storm-0558’로 식별된 중국 기반 위협 행위자가 약 25개 고객의 이메일 시스템을 손상시켰으며 그 중 일부에는 연방 정부 기관이 포함되어 있다”고 밝혔다.
마이크로소프트는 또 “공격자가 훔친 마이크로소프트 계정(MSA) 로그인 키를 사용하고 토큰 유효성 검사 문제를 악용했다”고 덧붙였다.
나중에 ‘Storm-0558’은 “MS의 네트워크에서 MSA 키를 훔쳐 고객 이메일 계정을 손상시키는 데 사용할 수 있는 일련의 오류를 유도했다”는 것이다. 이러한 오류에는 이메일 시스템이 MSA 키로 서명된 보안 토큰을 사용, 기업 이메일에 대한 요청을 허용하도록 조작하는 기능이 포함되어 있다. 이를 발견한 마이크로소프트는 나중에 이를 수정한 것으로 전해졌다.