[더구루=홍성일 기자] 독일의 완성차 업체 BMW의 민감한 내부 정보를 보관하는 클라우드 스토리지 서버가 인터넷에 그대로 노출된 것으로 확인됐다. BMW는 개인 정보가 유출되지는 않았다며 대응에 나섰다.
미국 IT전문매체 테크크런치는 15일(현지시간) 마이크로소프트(MS) 애저에 구축된 BMW의 클라우드 스토리지 서버가 비공개가 아닌 공개상태로 인터넷에 노출됐다고 보도했다. 이는 사이버 보안기업 SOC레이더(SOCRadar)의 연구원 캔 욜레리(Can Yoleri)에 의해 확인됐다.
이번에 문제가된 스토리지 서버는 BMW 내부에서는 ‘버킷(bucket)’으로 불리는 것으로, 노출된 버킷 안에는 비공개 버킷에 접속하기 위한 비밀키, 기타 클라우드 서비스에 대한 세부 정보가 포함된 스크립트 파일 등이 보관돼 있었다. 구체적으로는 미국, 중국, 유럽에 있는 BMW 클라우드 서버에 접속할 수 있는 개인 키와 BMW 생산 및 개발 데이터베이스에 대한 로그인 자격 증명이 포함됐다.
캔 욜레리는 이번 문제에 대해서 “안타깝게도 얼마나 많은 데이터가 얼마나 오래 노출됐는지 정확히 알 수 없다”고 설명했다.
BMW도 사태를 파악하고 대응에 나섰다. BMW 측은 “고객이나 회사 직원 개인의 정보는 영향을 받지 않았다”고 설명하며 노출된 버킷을 비공개 처리했다.
캔 욜레리 연구원은 BMW 대응이 불충분하다고 경고했다. 그러면서 “버킷을 비공개로 설정했더라도 액세스 키를 변경해야 했다”며 “더 이상 버킷이 비공개로 설정돼 있는지는 중요하지 않다”고 말했다.
메르세데스-벤츠에 이어 BMW도 내부정보가 담긴 클라우드가 노출되는 사태가 벌어지면서 독일 완성차 업체들의 보안에 물음표가 생길 것으로 보인다.
지난달 사이버 보안 연구소 레드헌트 랩(redhunt labs)은 메르세데스-벤츠 직원의 개인키가 액세스가 가능한 상태로 깃허브에 공개됐다고 보고했다. 해당 개인 키를 사용하면 메르세데스-벤츠의 깃허브 엔터프라이즈 서버에 무제한 접속할 수 있는 권한이 부여, 회사 내부 정보가 무차별적으로 노출될 수 있는 상황이었다.
메르세데스-벤츠는 레드헌트 랩의 보고를 받고 해당 키를 취소하고 노출된 스토리지 서버 신속하게 제거하는 등 대응에 나섰다.
자동차 산업 내에서 컨넥티드카, 자율주행차 기술이 발전하면서 완성차 업체들이 보관해야할 데이터가 증가하고 있다. 하지만 연이어 글로벌 완성차 업체들이 치명적인 노출 사고에 휘말리면서 신뢰가 흔들릴 수 있다는 우려의 목소리가 나오고 있다.
업계 관계자는 “이번 보안사고로 완성차 업체들의 사이버 보안 조치의 중요성이 강조되고 있다”며 “디지털화가 자동차 산업의 핵심이 되고 있는 만큼 신뢰를 유지하기 위한 보안 프로토콜을 강화하고 정기적 감사도 실시해야할 것”이라고 말했다.
댓글0