마이크로소프트(MS)의 인공지능(AI) 연구원들이 2020년 7월부터 공개 깃허브(GitHub) 리포지토리를 통해 38TB의 민감한 데이터를 실수로 노출한 것으로 알려졌다.

사이버 보안 회사 위즈(Wiz)는 MS AI 연구 부서에서 오픈소스 학습 데이터 버킷을 깃허브에 게시하는 과정에서 실수로 38TB의 민감한 데이터가 노출된 것을 발견했다. 노출된 데이터에는 직원 두 명의 워크스테이션에 백업되어 있던 비밀, 개인 키, 암호, 3만 개의 MS 팀즈 내부 메시지가 포함되어 있었다.

위즈는 보고서에서 “연구원들은 애저(Azure) 스토리지 계정에서 데이터를 공유할 수 있는 SAS(Shared Access Signature, 공유 액세스 서명) 토큰 기능을 사용해 파일을 공유했다. 이때 외부에서의 접근 레벨을 특정 파일로 한정해야 했지만 이번 사고에서는 38TB의 개인 파일이 포함된 스토리지 계정 전체가 공유됐다”고 밝혔다.

위즈 연구팀은 인터넷에서 클라우드 호스팅 데이터를 노출하는 잘못 구성된 스토리지 컨테이너를 검색하던 중 이 리포지토리를 발견했다. 깃허브에서 발견된 robust-models-transfer라는 이름의 리포지토리는 MS AI 연구 부서에서 이미지 인식을 위한 오픈소스 코드와 AI 모델을 제공하는데 사용되는 것으로 확인됐다.

MS AI 연구팀은 2020년 7월부터 데이터를 공개하기 시작했는데, 리포지토리에 접근이 허용된 애저 스토리지 URL이 전체 스토리지 계정에 대한 권한을 부여하도록 잘못 설정돼 있어 개인 데이터가 노출됐다.

위즈 연구팀은 공유 수단으로 계정 SAS 토큰을 사용한 것이 이번 사고의 근본적인 원인이며, SAS 토큰은 모니터링과 거버넌스가 부족하기 때문에 보안 위험을 초래할 수 있으므로 가능한 한 사용하지 말아야 한다고 주장했다. 또한 위즈는 MS가 애저 포털 내에서 SAS 토큰을 관리할 수 있는 방법을 제공하지 않기 때문에 SAS 토큰을 쉽게 추적할 수 없다고 지적했다.

한편, 이번 사고와 관련해 MS는 “고객 데이터가 노출되지 않았고 다른 내부 서비스에도 지장이 발생하지 않았다. 이 문제와 관련해 고객이 별도로 조치를 취할 필요는 없다”고 밝혔다.

 *이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기