검색

메뉴보기

클라우드 데이터 기업 루브릭, 서버보안 미비로 고객정보 대량 유출

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

클라우드 데이터 관리 기업이 고객정보를 유출하는 일이 벌어졌다. 33억 달러 규모 IT 유니콘으로 평가받는 기업이 저지른 실수다.

30일 미국 IT매체 테크크런치(TechCrunch)는 미국 클라우드 데이터 관리(CDM) 기업 루브릭(Rubrik)의 고객정보 데이터베이스(DB)가 서버 보안 미비로 대량 유출됐다고 보도했다. 올리버 허프 보안 연구원의 제보로 테크크런치가 루브릭에 연락, 해당 서버는 오프라인 전환됐다.

아마존 엘라스틱서치 서버를 호스팅해 사용한 DB에 암호가 걸려있지 않았다. 고객 이름과 연락처, 작업사례 등 데이터 수십 기가바이트에 위치만 알면 누구나 접근 가능했다. 이 중에는 이 회사 전체 고객사와 주고받은 이메일도 있으며, 일부에는 고객사별 설정과 구성 등 민감한 정보도 포함됐다. 내부 타임스탬프로는 지난해 10월 작성된 데이터로 추정된다.

루브릭은 미국 국방부와 스코틀랜드 정부 등을 주요 고객사로 내세운다. 이번에 노출된 고객정보DB에는 미국 국토안보부를 비롯한 여러 연방정부기관, 영국 국민건강서비스, 딜로이트, 쉘 등의 데이터도 포함됐다. 유럽 기관·기업 데이터가 유출됐으므로 루브릭은 EU 개인정보보호법(GDPR) 위반으로 제소될 수 있는 상황에 놓였다. GDPR은 심각한 위반에 대해 전세계 매출 4%까지 과징금을 물린다.

루브릭 측은 “새로운 고객지원 솔루션 구축과정에서 고객사 연락처와 고객지원 정보를 담은 샌드박스 환경에서 잠시 접근 가능했던 것”이라며 “연락받은 즉시 문제를 해결했고, 어떤 데이터도 유출되지 않은 것을 확인했다”고 입장을 밝혔다. 테크크런치에 따르면 이 고객정보DB는 이미 쇼단(Shodan) 검색엔진에 등록된 상태였다.

루브릭은 아마존웹서비스(AWS)와 마이크로소프트(MS) 애저(Azure)에서 실행되는 클라우드 네이티브 애플리케이션의 데이터 복구·관리·보호를 위한 솔루션을 제공한다. 2017년 한국지사를 설립했으며, 지난해에는 서비스형 소프트웨어(SaaS) 방식 클라우드 데이터 관리 솔루션을 출시했다.

최문기 기자 cmk@boan.com

위방향 화살표