[현장에서] 관리 부주의가 클라우드 보안에서 '약한 고리' 되지 않도록

[사진=게티이미지뱅크]

개인정보보호위원회가 소셜 데이팅 앱 골드스푼에서 발생한 개인정보 유출 사고에 대해, 운영사인 트리플콤마에 과징금 1억2979만원과 과태료 1860만원을 부과했다고 지난 23일 밝혔다.

개인정보 유출 사고는 빈번히 일어나고 있다. 지난해에도 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩, 샤넬코리아 등 다양한 분야에서 유사한 사고가 일어났다. 골드스푼을 포함인 위 사례들은 공통점이 있다. 퍼블릭 클라우드를 이용해 서비스를 구축했고, 클라우드 관리자 접근권한을 제한하지 않아 사고가 발생했다는 점이다.

이들은 클라우드 관리자 접근권한을 IP로 제한하지 않았다. 접근권한이란 일종의 ID와 비밀번호다. 해커가 부정한 방법으로 접근권한을 확보하더라도, 접근할 수 있는 IP 주소를 사무실 PC 등으로 제한하면 해커가 무단으로 서버에 접속하기 어렵다. 하지만 IP를 제한하지 않았기 때문에 해커가 상대적으로 쉽게 접근할 수 있었다.

퍼블릭 클라우드는 초기기업이 서비스를 운영하는 데 유용한 도구다. 서버를 자체적으로 구축하지 않고 필요한 만큼 즉시 인프라와 기능을 확장할 수 있기 때문에 수요 변화에도 유연하게 대응할 수 있다. 뿐만 아니라 해외 서비스를 고려하고 있다면 글로벌 클라우드 서비스를 통해 해외시장에도 원활한 서비스 제공이 가능하다.

이러한 클라우드 이용은 최근 디지털 전환 가속화와 더불어 빠르게 성장하고 있다. 하지만 이를 운용하는 기업의 관리 부주의는 보안사고와 직결된다. 특히 지난해 개인정보위로부터 과징금·과태료를 부과받은 샤넬코리아의 경우 관리자 계정의 ID와 비밀번호를 모두 'root'로 설정한 것으로 알려졌다. 경험있는 해커라면 아주 쉽게 추측할 수 있는 정보다. 이 결과로 9개 제휴사의 온라인 쇼핑몰을 통해 화장품을 구매한 이용자 8만1654명의 개인정보가 유출됐으며, 1억2616만원의 과징금을 냈다.

보안업계에서는 '쇠사슬의 전체 강도는 가장 약한 고리의 강도와 같다'는 말을 격언처럼 쓴다. 아무리 강력한 위협 탐지 솔루션과 보안 장비를 쓰더라도, 사소한 관리 부주의로 인해 치명적인 피해가 발생한다. 관리 부주의가 약한 고리가되지 않도록 운영 상황을 점검하고, 보안 가이드라인을 준수해야 한다.