아마존
클라우드에 보관중이던 캐피털 원 1억명 정보 유출
해커
웹서버 방화벽 뚫고 침입, 클라우드 보안경각심 커져
시애틀
여성해커가 미국 금융기관인 캐피털 원을 해킹해 1억600만
명의 개인정보를 유출해간 가운데 이들 데이터가 아마존 클라우드에 저장돼 있었던 것으로 알려져 아마존 클라우드의 보안 안전성에 대한 논란이 일고
있다.
현재
업계 1위인 아마존은 물론이고 마이크로소프트(MS), 구글
등 대형 정보기술(IT) 업체의 클라우드 서비스가 보안에 취약한 것 아니냐는 우려가 나오고 있다.
현재까지
언론 보도에 따르면 캐피털 원은 해커 침입으로 미국인 1억 명, 캐나다인 600만 명 등 총 1억600만
명의 개인정보가 유출됐다.
이름, 주소, 전화번호 등 신상정보와 신용점수, 신용한도 등 각종 금융 관련 데이터가
노출된 것으로 알려졌다. 8만 건의 은행 계좌번호와 100만
건의 캐나다 사회보험번호 등도 유출됐다.
캐피털
원의 데이터를 빼낸 해커인 페이지 톰슨(33)은 웹서버의 방화벽 취약점을 뚫고 데이터에 접근한 것으로
확인됐다.
특히 페이지 톰슨은 아마존 소프트웨어 엔지니어 출신의 IT
전문가로 클라우드 서비스 부문에서도 일한 경험이 있는 것으로 파악되고 있다.
WSJ는 “부실하게 구성된 방화벽을 통해 해커가 시스템에 침입한 것으로 조사됐다”고
보도했다.
캐피털원과 클라우드 서비스 제공사인 아마존은 “이번
사건은 클라우드 서비스를 사용한 것이 문제라기 보다는 데이터와 관련된 시스템 관리가 제대로 이뤄지지 못했던 것”이라며 “이런 유형의 (방화벽) 취약성은
클라우드뿐만 아니라 사내 데이터센터 환경에도 공통적으로 적용된다”고 해명했다.
그러나
데이터를 클라우드에 저장하면서 충분한 보안장치를 마련하지 않았다는 것은 의문이라고 전문가들은 지적했다.
글로벌
금융회사들은 ‘디지털 변혁’이라는 거대한 흐름 속에 사내
서버와 스토리지를 대체하는 클라우드 서비스를 이용하고 있다.
폭증하는 데이터를 안정적으로 관리하고, IT 효율성을 높여 비용을 절감하기 위해서다. 시장조사업체 인터내셔널데이터코퍼레이션에
따르면 2023년 전 세계 은행들은 퍼블릭 클라우드와 데이터 서비스에530억달러를 지출할 것으로 예상된다. 이는 올해 243억달러보다
두 배 이상 증가한 금액이다.
그러나
클라우드 서비스 확산으로 보안 위협도 커지고 있다. 해커들은 취약한 네트워크 장치를 공격해 회사 임원, 전산 관리자 등의 계정을 탈취할 수 있다. 이들은 빼낸 클라우드
계정으로 회사 직원들에게 피싱 메일 등을 보내 악성 프로그램을 전파하기도 한다.
전문가들은
이번 사건을 계기로 클라우드 서비스에 대한 보안 경각심이 더욱 높아질 것으로 예상하고 있다.