마이크로소프트가 1월 22일(현지시간) 지원 사례 분석에 이용한 고객 데이터베이스 설계 실수로 일시적으로 2억 5,000만 건에 이르는 데이터가 웹상에 공개 상태로 되어 있었다고 밝혔다.
마이크로소프트는 지난해 12월 5일 데이터베이스에 변경 사항이 발생한 게 원인이라고 설명했다. 데이터베이스가 공개된 걸 알아차린 보안 연구가 밥 디아첸코(Bob Diachenko)와 컴페러테크(Comparitech) 보안 조사팀은 12월 29일에 이 사실을 마이크로소프트에 보고했고 마이크로소프트는 12월 31일 수정을 끝냈다.
마이크로소프트 조사 결과 악의적 사용 흔적은 발견되지 않았다고 한다. 공개된 정보는 지원센터와 고객과의 상호 작용을 포함한 내용이지만 수많은 자동화 도구로 편집된 개인 정보는 삭제된 것이다. 다만 자동화 도구로 해결할 수 없는 데이터 예를 들어 공백으로 구분된 이메일 주소 같은 내용은 그대로 남아 있었다고 한다.
대부분 익명화됐더라도 이 데이터를 입수한 악의적 사용자가 있다면 마이크로소프트 지원 쪽으로 가장해 고객에게 연락해 개인 정보 등을 얻어낼 가능성도 생각해볼 수 있다. 따라서 데이터베이스에 등록되어 있던 사용자에게는 마이크로소프트가 개별적으로 통지를 했다고 한다. 또 이를 계기로 마이크로소프트는 보안 규칙 감사, 추가 자동 편집 도구 구현 등 조치를 취할 예정이다.
윈도나 브라우저는 차치하고 마이크로소프트가 스스로 정보 유출을 하는 건 드문 일이지만 실제로 지원 관련 데이터 유출은 1년간 2번째였다. 2019년 4월 해커가 지원 플랫폼에서 자격 증명을 훔쳐 지원 관련 이메일 주소와 계정 데이터에 액세스한 사건이 발생한 바 있다. 관련 내용은 이곳에서 확인할 수 있다.