2020. 7. 28. 08:24 클라우드 보안
클라우드 침해사고를 통해 얻는 교훈(4/6), Instagram (Chtrbox)
2019년 5월 20일, 테크크런치는 인도 뭄바이에 위치한 소셜 마케팅업체 치트르박스(Chtrbox)가 운영하는 데이터베이스에 패스워드 없이 접근이 가능하며, 이로 인해 인스타그램 인플루언서를 포함한 4,900만개의 계정정보가 노출됐다고 보도했습니다. 계정정보에는 이용자 전화번호와 이메일 주소를 포함해 프로파일 이미지, 팔로워 수, 공유 게시물 수 등 활동 지표가 포함되어 있었으며, 데이터는 유명인들을 포함한 최신의 데이터라고 전했습니다.
이러한 소식이 전해지자 치트르박스는 즉각적으로 데이터베이스와 연결된 인터넷을 차단했습니다. 이후, 인스타그램은 자체 조사를 통해 치트르박스가 가진 정보에는 개인정보가 포함되어 있지 않으며, 이미 공개된 정보라는 주장한바 있습니다.
인스타그램은 2년전에도 개발자 API의 버그문제로 인해 유명인들의 계정을 포함해 6백만개의 계정이 유출된 이력이 있습니다. 해당 계정에는 핸드폰 번호, 이메일 주소 등이 포함되어 있었으며, 정보를 탈취한 공격자들은 해당 정보 검색용 유료사이트(1건당 10달러)를 개설하기도 했습니다.
클라우드 환경에서 패스워드의 부적절한 설정이나 보안에 대한 충분한 이해 부족으로 인해 발생하는 이러한 침해사고는 지속적으로 발생하고 있습니다. 치트르박스와 같은 단순 실수로 인한 사고는 외부로 부터의 인지 이후에나 깨닫게 되는 경우가 많습니다. 아직까지 클라우드를 운영하는 많은 기업들은 효과적인 보안설정, 컴플라이언스 모니터링, 데이터 유출 탐지, 보안 인식제고 등에 있어 충분한 준비가 되어 있지 않습니다 .
충분한 통찰력 내재화 및 조직의 보안역량 강화
빠르게 변하는 기업의 서비스와 기술요건 충족을 위해, 컴퓨팅 인스턴스와 스토리지 또한 시의적절하게 변경이 필요합니다. 하지만, 성급한 인프라의 변화로 인해 강한 패스워드 적용, 다중인증 구현, 주기적인 키 변경, 최소권한 할당 등 중요한 보안요소들에 소홀 할 수 있습니다. 따라서, 클라우드 계정, 워크로드, 컨테이너 인프라에 대한 충분한 이해를 기반으론 환경설정 오류, 미흡한 보안정책 적용, 데이터 침해사고로 이어질 수 있는 간과하기 쉬운 요소들에 대해 점검하고 정정할 수 있는 능력을 키워야 합니다.
※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020
'클라우드 보안' 카테고리의 다른 글
클라우드 침해사고를 통해 얻는 교훈(6/6), Autoclerk (0) | 2020.07.30 |
---|---|
클라우드 침해사고를 통해 얻는 교훈(5/6), Capital One Banking (0) | 2020.07.29 |
클라우드 침해사고를 통해 얻는 교훈(3/6), Docker Hub (0) | 2020.07.27 |
클라우드 침해사고를 통해 얻는 교훈(2/6), 페이스북 (Cultura Colectiva) (0) | 2020.07.24 |
클라우드 침해사고를 통해 얻는 교훈(1/6) (0) | 2020.07.23 |