AWS 개인정보 유출 사고
국내 기업 AWS 개인정보 유출 사례
클라우드 서비스 공급자의 책임
AWS 개인정보 유출 사고
최근 디지털 전환(DT)을 추진하는 기업들이 증가함에 따라 아마존웹서비스(AWS)와 같은 클라우드의 수요가 증가하고 있는 가운데 관리 미숙에 따른 개인정보 유출 사고가 연이어 발생하고 있다.
최근 개인정보 유출로 인해 1억2000만원의 과징금을 부과받은 샤넬코리아가 대표적이다. 샤넬코리아는 클라우드 서비스의 관리자 계정의 비밀번호를 누구나 쉽게 추측할 수 있도록 설정하였으며, 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하지 않았다.
또한 샤넬코리아는 이용자 개인정보를 AWS에 보관하면서 국외로 개인정보를 이전한 사실에 대해 이용자 동의를 받거나 개인정보 처리방침 등으로 알리지 않았으며, 결국 이를 통해 샤넬코리아 제휴 온라인 쇼핑몰에서 물품을 구매한 국내 이용자 8만1654명의 개인정보가 유출됐다.
개인정보보호위원회(개인정보위)에 따르면 최근 몇 년간 지속해서 발생하는 개인정보 유출 사고는 클라우드 서비스가 광범위하게 이용되는 상황에서 서비스 이용 사업자가 개인정보처리시스템을 구성 및 운영하면서 기초적인 설정을 하지 않아 발생했다.
클라우드 서비스 이용 사업자가 관리자 접근권한을 엄격히 제한하는 등의 기본적인 개인정보 보호 조치를 이행함으로써 충분히 외부로부터의 비정상적인 접근 및 공격을 방지할 수 있는 사태가 빈번하게 발생하고 있는 것이다.
국내 기업의 AWS 개인정보 유출 사례
지난달 개인정보보호위원회는 AWS를 사용하는 야놀자·스타일쉐어·집꾸미기·스퀘어랩에 개인정보 보호법규 위반행위에 대해 총 1억8530만원의 과징금과 8300만원의 과태료, 시정명령, 공표 등의 제재처분을 부과하기로 결정했다.
4개 사업자를 통해 유출된 개인정보는 약 938만건에 달하며 모두 AWS 관리자 접근권한(Access Key)을 IP로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영하여 개인정보가 유출되거나 제3자가 열람하였으며, 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장 및 관리하지 하지 않았다.
개인정보보호위원회 관계자는 <뉴스워커>와의 통화를 통해 “야놀자의 경우 2019년도 3월, 나머지 기업은 20년도 4월에서 6월 사이에 발생한 사건으로 AWS의 개인정보조치 미흡으로 이용자의 개인정보가 열람 및 유출됐다”라며 “AWS의 Access Key가 유출돼 해커가 이용자의 개인정보를 탈취한 것”이라고 사고의 경위를 전했다.
또한 최근 개인정보 유출 관련 개인정보위의 조사를 받고 있는 데이팅 애플리케이션 앱 ‘골드스푼’과 패션 커머스 플랫폼 브랜디 또한 AWS를 사용 중인 것으로 알려졌다.
특히 지난달 12일 골드스푼은 홈페이지 공지를 통해 "정보망에 사이버테러(랜섬웨어, 디도스, 해킹 등)피해가 발생한 것으로 추정하고 있습니다”라며 “최근 국내 대표 숙박/여행 플랫폼, 명품쇼핑 플랫폼, 대형 인테리어 앱 등에서 동시다발적으로 벌어진 아마존 클라우드 서비스(AWS) 관련 사이버 공격과 동일한 방식으로 사고가 발생한 것으로 추정되며, 해당 공격에 대한 보안 시스템 대응 및 보완은 완료된 상태”라며 AWS를 통해 개인정보가 유출됐음을 전했다.
클라우드 서비스 공급자의 책임
클라우드 서비스 공급자(CSP)인 AWS의 경우 클라우드 인프라를 기업에 제공하는 역할만을 하기 때문에 개인정보 유출에 대한 책임은 없다. 하지만 AWS를 이용하는 기업에서 동일한 형태의 개인정보 유출로 인한 피해가 발생했음을 봤을 때, CSP가 클라우드 서비스 이용 사업자에 최소한의 보안조치를 할 수 있도록 도울 필요가 있다는 목소리가 커지고 있다.
현재는 AWS를 이용하는 업체가 스스로 취약점을 주기적으로 점검하여 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 안전조치 의무를 이행해야 하지만, 2차 피해를 가늠할 수 없는 개인정보 유출과 같은 사고를 방지하기 위해서는 클라우드 서비스 이용자의 자율에 맡기는 것만으로는 부족하다는 주장이다.
개인정보위 관계자는 “AWS는 개인정보 보안을 위한 여러 기능을 제공하고 있지만, 막상 AWS를 이용하는 기업들은 이러한 기능들을 활용하지 못하고 있다”라며 “AWS와 같은 CSP가 고객들을 위해서 개인정보를 안전하게 보관할 수 있는 기능에 대한 안내를 해야 할 책임이 있다는 것이 개인정보위의 입장이다”라고 전했다.
이어 “현재는 현행법상 AWS 등 클라우드 보안기능 안내에 대한 의무규정이 없기에 CSP가 이를 자율적으로 이행하기를 권하고 있으나, 개인정보 조치 미이행 등으로 인한 개인정보 유출 사고가 지속해서 발생할 시 이를 강제하는 등의 방법을 고민해야 할 것”이라고 전했다.