최근 AI, 빅데이터, IoT 등 다양한 최신 기술을 도입하고 활용하기 위해, 많은 기업이 클라우드 서비스를 적극적으로 도입하고 있습니다. 특히 스타트업이나 중소기업은 초기 비용 부담을 줄이고 빠르게 비즈니스를 확장하기 위해 클라우드 서비스를 선택하는 경우가 많은데요.

하지만 편리함에만 집중한 나머지, 클라우드 서버의 보안 설정을 제대로 관리하지 않아개인정보 유출 사고로 이어지는 사례들이 있습니다. 이러한 개인정보 유출은 기업의 평판과 브랜드 가치를 크게 훼손할 뿐만 아니라, 심각한 재정적 피해와 법적 위험으로 이어질 수 있습니다. 그렇기 때문에 내부의 보안 설정을 철저하게 관리하는 것이 무엇보다 중요한데요. 오늘은 실제 클라우드 보안 사고 사례를 통해, 사소한 실수가 얼마나 큰 피해로 번질 수 있는지 살펴보고 이를 예방할 수 있는 보안 솔루션을 알아보겠습니다.

‍

■ 클라우드 보안 대형 사고, 부주의에서 일어난다?!

클라우드 보안 사고는 우리가 흔히 떠올리는 정교한 해킹 기술이나 고도의 사이버 공격보다, 예상 외로 단순한 설정 실수나 관리 부주의에서 시작되는 경우가 많습니다. 특히, 사용자 권한 설정 미흡, 저장소 접근제어 누락, 기본 보안 설정 미적용 등의 사소한 실수가 치명적인 보안 취약점으로 이어질 수 있죠. 실제 사례를 통해 좀 더 자세히 살펴보겠습니다.

‍

1) 이력서 2,600만 건 유출? TalentHook의 이력서 유출 사고

출처: Freepik

2024년 1월, 미국의 인재 채용 플랫폼 TalentHook에서 발생한 2,600만 건 규모의 이력서 유출 사고는 클라우드 환경에서의 접근 권한 설정 오류가 얼마나 심각한 결과를 초래할 수 있는지를 단적으로 보여주는 사례입니다.

TalentHook은 기업들이 후보자 정보를 수집·관리할 수 있도록 지원하는 인재 채용 플랫폼입니다. 그러나 클라우드 서버 내 스토리지 컨테이너의 접근 권한이 부적절하게 설정되면서, 무려 2,600만 건의 이력서 정보가 외부에 노출되는 사고가 발생했습니다. 해당 스토리지 컨테이너가 'Public Read' 권한으로 설정되어 있어 누구나 URL만 알면 파일에 접근할 수 있는 상태였고, 이름부터 이메일, 학력, 경력까지 민감한 개인정보가 아무런 제약 없이 열람 가능한 상태로 방치된 것입니다.

이러한 정보 유출은 단순한 프라이버시 침해를 넘어, 신원 도용 및 사기, 피싱 등 다양한 범죄에 악용될 가능성이 높습니다. 예를 들어 실제 기업을 사칭해 가짜 채용 절차를 진행하거나, 지원자에게 신원조회 비용 또는 교육비 등을 요구하는 등 2차 피해가 발생할 수 있죠.

해당 사고는 클라우드 환경에서 '기본 보안 설정'의 중요성을 여실히 보여줍니다. 단 하나의 설정 오류가 수천만 명의 개인정보를 위협할 수 있는 만큼, 접근 권한 관리와 보안 점검은 선택이 아닌 필수입니다. 기업이 클라우드 인프라를 도입하는 과정에서, 보안 설정의 정확성과 지속적인 점검 체계를 갖추는 것이 무엇보다 중요한 이유입니다.

‍

2) 10년간 방치된 설정 오류?! Toyota Motor 대규모 고객 데이터 유출 사건

출처: Freepik

Toyota Motor에서 발생한 고객 데이터 유출 사례는 지속적인 보안 점검의 중요성을 극명하게 보여주는 사고입니다. 2023년 5월, 약 26만 명의 고객 데이터가 클라우드 환경 설정 오류로 인해 외부에 노출되는 사건이 발생했습니다. 놀랍게도 이 설정 오류는 2013년부터 2023년까지 약 10년간 방치되어 있었던 것으로 밝혀졌습니다.

유출된 데이터의 범위는 상당히 광범위했습니다. 일본 내 고객뿐만 아니라 아시아와 오세아니아 지역 고객들의 차량 내 기기 ID, 지도 데이터 업데이트 정보, 업데이트 생성 날짜, 지도 정보 등이 포함되어 있었습니다. 또한 해외 고객의 경우 주소, 이름, 전화번호, 이메일 주소, 고객 ID, 차량 등록번호, 차량 식별번호 등 개인정보까지 노출되었습니다.

이 사고의 가장 심각한 문제점은 단순한 인적 오류가 아닌 시스템적인 감시 체계의 부재라는 점입니다. 정기적인 보안 감사가 이루어지지 않았고, 클라우드 설정 변경을 모니터링하는 시스템이 없었기 때문에, 거의 10년간 이러한 설정 오류를 알아채지 못한 것이죠.

Toyota는 사고 발생 후 외부 접근을 차단하는 조치를 취했으며, 모든 클라우드 환경을 조사하고 지속적으로 모니터링할 수 있는 시스템을 구축했다고 발표했습니다. 이 사례는 기업의 규모와 상관없이 클라우드 보안 설정을 주기적으로 점검하고 관리하는 일이 얼마나 중요한지 잘 보여주는 대표적인 사례입니다.

‍

3) 항공 보안까지 위협한 6.5TB 데이터 유출, Pegasus Airlines 사고

출처: Freepik

Pegasus Airlines에서 발생한 데이터 유출 사고는 AWS S3 버킷 설정 오류가 항공 보안 전반에 미칠 수 있는 심각한 위험을 보여주는 사례입니다. 2022년 2월 28일 SafetyDetectives 보안 연구팀이 발견한 이 사고에서는 약 6.5TB 분량, 2,300만 개의 파일이 보호되지 않은 AWS S3 버킷에 노출되어 있었습니다.

유출된 데이터에는 일반적인 개인정보를 넘어, 항공 보안과 직결되는 민감한 정보들이 포함되어 있었습니다. 항공 차트, 보험 문서, 승무원 교대 정보와 같은 민감한 비행 데이터 파일이 300만 개 이상 포함되어 있었고, 승무원의 개인 식별 정보 파일도 160만 개 이상 노출되었습니다.

특히 주목할 점은 Pegasus Airlines가 자체 개발한 EFB(Electronic Flight Bag) 소프트웨어인 PegasusEFB의 소스코드까지 유출되었다는 것입니다. 이 소스코드에는 비밀 키와 평문 패스워드가 포함되어 있었는데요. 조종사들이 이륙/착륙, 항공기 내비게이션, 급유, 안전 절차 등 다양한 비행 운영에 사용하는 중요한 시스템이었기 때문에 그 파급효과가 더욱 심각했습니다.

SafetyDetectives 연구팀은 이러한 데이터 유출이 항공사 승무원들의 뿐만 아니라, 항공사 및 공항 보안의 허점을 파악할 수 있게 한다고 경고했습니다. 연구팀이 Pegasus Airlines에 알린 후 3주 만에 문제가 해결되었고, 현재까지 유출된 정보가 악의적으로 사용된 증거는 발견되지 않았습니다. 하지만 이 사고는 단순한 설정 실수가 항공 보안 전체를 위험에 빠뜨릴 수 있음을 보여주는 심각한 사례로 평가받고 있습니다.

‍

■ 핵심은 외부 공격보다 ‘내부 설정 미흡’

앞서 언급한 사례들을 살펴보면, 많은 보안 사고가 외부 해킹이 아니라 클라우드 서비스의 기본 관리 부실에서 비롯된다는 것을 알 수 있습니다. 특히 Toyota 사례처럼 설정 오류가 10년간 방치되었다가 뒤늦게 발견된 경우는, 관리 체계 전반의 허점을 여실히 보여줍니다. 이러한 사고를 막기 위해서는 다음과 같은 기본 원칙을 철저히 준수하는 것이 무엇보다 중요합니다.

‍

출처: Freepik

1) 접근 권한 관리 강화

‘최소 권한 원칙’을 철저히 준수해, 직원에게는 업무 수행에 반드시 필요한 권한만 부여해야 합니다. 이를 통해 불필요한 권한으로 인한 보안 위험을 줄이고, 내부에서 발생할 수 있는 잠재적 위협을 예방할 수 있습니다.

‍

2) 다중 인증(MFA) 도입

중요한 시스템이나 관리자 계정에는 반드시 다중 인증(MFA)을 적용해야 합니다. 비밀번호 외에 추가 인증 절차를 거치게 함으로써, 계정 정보가 유출되더라도 무단으로 접근하려는 시도를 효과적으로 차단할 수 있습니다.

‍

3) 권한 변경 이력 관리

권한을 변경할 때는 반드시 명확한 승인 절차를 거치고, 모든 변경 이력을 체계적으로 기록하고 보관해야 합니다. 이때 인적 오류를 최소화하고, 추후 문제 발생 시 원인 파악과 책임 소재를 명확히 할 수 있습니다.

‍

4) 주기적 계정 관리

정기적으로 계정을 점검하여 퇴직자나 장기간 사용하지 않는 계정을 즉시 삭제해야 합니다. 또한 API 키와 액세스 토큰에는 유효 기간을 설정하고, 주기적으로 갱신하여 계정 도용 가능성을 사전에 차단해야 합니다.

‍

5) 지속적인 모니터링 체계 구축

10년 동안 설정 오류가 방치된 Toyota 사례는 지속적인 모니터링의 중요성을 잘 보여줍니다. 클라우드 설정이 변경될 때는 실시간 알림과 승인 절차를 갖춘 체계를 운영하고, 비정상적인 접근 패턴을 신속히 식별할 수 있도록 AI 기반 모니터링 도구를 도입하는 것을 권장합니다.

‍

6) 보안 교육 프로그램

클라우드 보안에 대한 정기적인 직원 교육을 실시하고 데이터 거버넌스 프로세스에 대한 지속적인 훈련을 진행해야 합니다. 보안 사고 시뮬레이션을 통해 대응 역량을 강화하고, 보안 정책 변경 시에는 즉시 공지 및 교육을 진행해야 합니다.

‍

클라우드를 도입했다면 클라우드 보안 인증 체계를 포함한 점검 시스템도 함께 구축되어야 합니다. 특히 기업용 클라우드 환경에서는 정보 유출을 방지하고 규제 요건을 충족하기 위한 클라우드 보안 인증 설계가 필수적인데요.

이러한 위험을 줄이기 위해서는 전문 컨설팅부터 24시간 관제까지 지원하는 통합 보안 서비스가 필요합니다. 보안 리스크에 효과적으로 대응하기 위해서는, 클라우드 환경에 대한 이해와 실전 경험을 모두 갖춘 전문 파트너의 도움이 필수적입니다.

‍

■ 클라우드 환경에 최적화된 보안 파트너, SK쉴더스

SK쉴더스의 클라우드 보안 서비스는 기업 규모와 환경에 맞춰 필요한 보안 기능을 한 번에 제공하는 통합 솔루션입니다. 스타트업부터 대기업까지, 비용 부담은 줄이고 보안은 강화할 수 있도록 기업용 클라우드 도입부터 운영까지 전 과정을 지원합니다.

‍

✅ 전문적인 클라우드 보안 컨설팅

업계 1위 보안컨설팅 전문업체로서, 국내 최다 보안 전문 컨설턴트를 보유하고 있습니다. 축적된 현장 경험과 검증된 방법론을 기반으로, 기업의 클라우드 환경에 최적화된 보안 컨설팅 서비스를 제공합니다. 초기 설계부터 보안 리스크 진단, 정책 수립까지 전 과정에서 체계적이고 전문적인 접근이 가능합니다.

‍

✅ 최적의 보안 솔루션 제공

국내외 CSP(Cloud Service Provider), MSP(Managed Service Provider), 그리고 클라우드 솔루션 전문 기업들과의 긴밀한 파트너십을 기반으로, 각 기업의 클라우드 환경에 최적화된 보안 솔루션 및 아키텍처 설계를 제공합니다. 단순히 제품을 공급하는 것이 아니라, 고객 비즈니스 특성에 맞춘 효율적이고 안정적인 구성을 지원합니다.

‍

✅ 관제 및 운영 서비스

또 다른 차별점은 24시간 365일 고객 맞춤형 원격관제 서비스를 제공하며, 클라우드 보안 솔루션 전문가로 구성된 ‘원격 Shared’ 운영서비스를 통해 실시간 위협 감지 및 대응이 가능하다는 점입니다. 상시 모니터링을 통해 보안 이상 징후를 탐지하고 즉각적으로 조치하여, 안정적인 클라우드 운영 환경을 지속적으로 유지할 수 있도록 지원합니다.

‍

✅ 검증된 클라우드 전문성

SK쉴더스는 AWS Technology/Consulting Partner로서 검증된 기술력을 보유하고 있으며, 국내외 다양한 클라우드 파트너와의 협력을 통해 최고 수준의 클라우드 보안 서비스를 제공합니다. 글로벌 수준의 기준과 기술을 바탕으로, 안전하고 신뢰할 수 있는 클라우드 인프라 구축을 가능하게 돕습니다.

‍

‍

클라우드 환경이 빠르게 확산되고 있는 최근, 단순히 서버의 효율을 높이고 기능을 확장하는 데 초점을 맞추기보다는, 초기 단계부터 보안 관리 체계를 함께 설계하는 것이 중요합니다. 작은 설정 하나의 허점이 기업 이미지 훼손이나 고객 정보의 유출, 나아가 법적 리스크로 이어질 수 있기 때문에, 클라우드 보안은 안정적인 서비스 운영을 위해 필수로 고려해야 하는 사항입니다.

전문적인 컨설팅부터 24시간 실시간 관제까지 보다 안전한 클라우드 운영 환경을 구하고 싶다면, 클라우드 환경에 최적화된 SK쉴더스의 클라우드 보안 서비스를 고려해 보세요!

‍

‍

‍

‍

[콘텐츠 내용 출처]

Recruiting software maker exposes nearly 26M resumes

The Talenthook Data Breach: How a Simple Cloud Misstep Exposed Millions of Job Seekers

Reflecting on the 2023 Toyota Data Breach

Cloud misconfiguration causes massive data breach at Toyota Motor

Pegasus Airlines Leaked 6.5TB of Data in AWS S3 Bucket Mess Up

What could possibly go wrong with an airline?

‍