MS. 직원의 실수로 영화 1만편 분량 개인정보 유출

[이코노믹데일리] 마이크로소프트(MS)에서 개인정보 유출 사고가 발생했다. 사고를 일으킨 사람은 내부 직원의 실수로 유출이 일어나고 나서도 3년 가량 문제를 모르고 있었다. 

19일(현지시간) 인가젯, IT프로 등 IT 전문 매체들에 따르면 MS의 한 AI 연구원이 실수로 38테라바이트에 달하는 회사 데이터를 외부로 노출시킨 사실이 밝혀졌다. 원인은 MS의 클라우드 서비스인 애저의 스토리지 계정에 접근할 수 있는 링크를 외부에 공유한 적이 실수였다. 애저에 저장된 공유 데이터의 링크를 잘못 설정한 게 문제가 되었다.

이 문제를 처음 발견한 클라우드 보안기술 기업 위즈(Wiz)의 전문가들은 "MS의 AI 연구팀이 지나치게 허용적인 공유 링크 URL을 개발자 커뮤니티인 깃허브 리포지토리에 업로드했다"면서 "그 결과 누구나 개인정보에 접근할 수 있게 됐다"고 밝혔다.

이 사고로 노출된 데이터에는 직원 업무용 기기 두 대의 전체 백업 데이터가 포함됐는데, 이 두 기기에는 MS 서비스 비밀번호, 개인 키, 3만 개 이상의 내부 MS 팀즈 메시지 기록 등의 데이터가 포함돼 있었다. 유출된 개인정보 양은 38TB(테라바이트)에 달했다.  4기가바이트 짜리 영화 약 1만편에 해당하는 용량이다.

위즈 관계자는 "(MS) 연구원들은 애저 스토리지 계정에서 데이터를 공유할 수 있는 SAS 토큰이라는 애저 기능을 사용해 파일을 공유했다"고 설명했다. 이어 "접근 수준은 특정 파일로 제한할 수 있지만, 이 경우에는 38테라바이트의 비공개 파일을 포함해 전체 스토리지 계정을 공유하도록 링크가 구성됐다"고 밝혔다.

MS는 이번 사고와 관련해 "고객 데이터가 노출됐다는 증거는 없다"고 밝혔다. 이어 "이 문제로 인해 다른 내부 서비스가 위험에 처하지도 않았다"고 덧붙였다.