전 세계 1위 클라우드 서비스 공급자인 아마존의 클라우드 서버에서 미국 국방성 시스템 암호를 포함한 미국 정부 문서 6만 건이 노출된 것으로 알려졌다. 클라우드 서비스 사용이 늘고 있는 가운데 클라우드 보안이 이뤄지지 않을 경우 대형사고로 이어질 수 있다는 우려가 나오고 있다.

2일 한국인터넷진흥원(KISA)은 최신 보안동향을 통해 아마존 클라우드 서버에서 미국 정부기관의 민감 파일들이 암호화 없이 저장돼 노출되는 사건이 있었다고 밝혔다.

외신과 KISA에 따르면, 보안업체 업가드의 사이버위험 분석가 크리스 비커리는 미국 국립지리정보국(NGA)의 미군 프로젝트와 관련된 6만 개의 문서가 익명 계정 로그인을 통해 접속 가능한 아마존 클라우드 스토리지 서버에서 저장돼 있었다고 주장했다. NGA는 미국 국방성의 전투 지원 기관이며 미국 정보당국과도 긴밀히 협력하고 있다.

암호화되지 않고 노출된 파일은 28기가바이트(GB) 규모로 민감한 정보들이 포함돼 있었다. 노출된 정보는 미국 정부 시스템, 국방성 시스템에 대한 접속 암호와 정부 고위 직원에 보안 자격 증명 관련 정보가 있었다. 또 미국 국방성 시스템에 대한 관리 접근 권한을 부여하는 마스터 자격에 대한 증명과 암호화 관련 정보도 노출됐다.

미국 더해커뉴스는 노출된 내용에 최상위 기밀 정보가 포함돼 있지는 않았지만 기밀 정보에 접근할 수 있도록 돕는 정보들이 있었다고 보도했다. 테크인테스터뉴스는 최소 6개의 기밀 시스템 접근 암호가 노출됐다고 밝혔다.

KISA는 노출된 문서 정보를 이용해 공격자가 별도의 해킹 없이 시스템에 접근하거나 시스템 관리자 계정을 획득할 수도 있다고 해석했다.

이번 노출에는 미국 국가안보국의 계약업체인 부즈 알렌 해밀턴(Booz Allen Hamilton)도 관련 있는 것으로 외신들이 보도하고 있다. 부즈 알렌 해밀턴은 컨설팅 업체로 알려져 있지만, 2013년 미국 정부의 도감청, 해킹 등 기밀 정보를 폭로한 에드워드 스노든이 근무했던 곳이다. 외신들은 부즈 알렌 해밀턴이 미국 정보 당국과 민감한 프로젝트를 수행하고 있는 것으로 보고 있다.

미국 국방성과 NGA, 부즈 알렌 해밀턴이 협력하면서 정보가 공유되고 해당 정보가 클라우드에 저장돼 이번 사건이 발생한 것으로 추정된다.

외신들에 따르면, 이번 사건에 대해 NGA는 기밀정보가 노출되지 않았다고 강조하면서도 취약점이 있었던 것은 인정했다. NGA는 즉시 보안조치를 취하고 이번 사건에 대해 조사하고 있다고 밝혔다. 부즈 알렌 해밀턴 역시 즉시 보안 조치를 진행했으며 사건에 대해 조사하고 있다고 설명했다.

최근 수 년 사이 클라우드 서비스를 이용하는 기업, 기관들이 급격히 늘고 있지만 보안 문제가 가장 큰 우려 사항 중 하나로 제기되고 있다. 이번 사건은 클라우드 서비스에서 보안이 이뤄지지 않을 경우 우려가 현실화 될 수 있다는 것을 보여주고 있다는 지적이다.

KISA는 이번 사건에 대해 “국내에서도 클라우드 서비스를 이용하는 개인 또는 기업이 많아 클라우드 서비스 서버에 대한 보안 강화가 시급하다”며 “클라우드 보안관리, 방화벽(IPS/IDS) 도입, 데이터 암호화 적용, 클라우드 데이터용 암호키 관리를 통해 시스템을 운용해야 하며 접근제어, 인증기술을 통한 클라우드 접속 이용 시 보안을 제어해야 한다”고 지적했다.

[테크M = 강진규 기자(viper@techm.kr)]