이원영 기자
마이크로소프트가 제공하는 자연어 코딩으로 누구나 복잡한 응용 프로그램을 만들 수 있게 해주는 도구인 마이크로소프트 파워 앱스(Microsoft Power Apps) 관리 포털 사이트에서 코로나19 백신 접종 기록이나 사회보장번호 등과 관련된 개인 정보 3,800만 건이 유출됐다고 한다.
마이크로소프트 파워 앱스는 애플리케이션 서비스 커넥터 제품군 데이터 플랫폼으로 비즈니스 요구에 맞게 맞춤형 애플리케이션을 구축하기 위한 빠른 개발 환경을 제공하는 도구로 개발자는 이를 이용해 로컬이나 클라우드와 데이터를 공우하는 응용 프로그램을 만든다.
이런 마이크로소프트 파워 앱스 관리 포털 사이트에서 기밀 정보가 유출된 걸 발견한 건 보안 플랫폼인 업가드(UpGuard)다. 회사 측에 따르면 이번에 유출된 기밀 데이터는 코로나19 백신 에약 상황과 구직자 사회보장번호, 직원 아이디, 수백만 건에 이르는 이름과 이메일 주소 조합 등 다양하며 마이크로소프트 파워 앱스를 이용하는 47개 기업에서 모두 3,800만 건에 달하는 기밀 정보가 유출됐다고 한다.
이번에 공개된 데이터 중에서도 자세한 내용이 포함되어 있는 건 아메리칸항공과 포드, 인디애나주 보건주, 뉴욕시 공립학교 등 데이터다. 업가드는 데이터 유출 중 일부 내용을 밝혔다. 이에 따르면 아메리칸항공은 성명과 직위, 전화번호, 이메일 주소를 포함한 개인 정보 목록이 2회에 걸쳐 1회 39만 8,890건, 2회 47만 400건 유출됐다. 텍사스 덴튼카운티는 백신 접종 관련 정보와 백신 예약 일시, 직원 아이디, 성명, 이메일 주소, 전화번호, 출생 데이터를 포함한 63만 2,171건 개인 정보가 유출됐다. 그 밖에 이름과 백신 접종에 관한 정보를 합친 40만 91명 분량 개인 정보, 이름과 이메일 주소 세트 25만 3,844건 개인 정보도 유출됐다. 또 JB헌트 전송 서비스에선 고객명과 이메일 주소, 주소, 전화번호 세트 90만 5,228건이 유출됐고 이 중 25만 건 이상 개인 정보에는 사회보장번호도 포함되어 있다. 마이크로소프트 유료 서비스에선 이름과 전화번호, 이메일 주소를 포함해 마이크로소프트 직원과 계약자와 일하는 사람 33만 2,000건 개인 정보가 유출됐다.
업가드에 따르면 이번 데이터 유출은 마이크로소프트 파워 앱스가 오픈 데이터 프로토콜과 API를 어떻게 양립시키고 있는지에 관계되고 있다고 한다. 예를 들어 마이크로소프트 파워 앱스에서 처리되는 일부 데이터는 공용이고 기타 관련 데이터세트는 개인이어야 한다. 구체적으론 코로나19 백신 예약 사이트의 경우 백신 접종 장소나 사용 가능한 예약 시간 등 공용으로 취급하는 백신 접종을 받을 사람 개인 정보 등은 비공개로 처리해야 한다.
하지만 마이크로소프트 파워 앱스에선 비공개로 취급해야 할 민간함 정보 일부가 액세스 가능한 상태로 저장되어 있었다고 한다. 이는 마이크로소프트 파워 앱스가 비공개로 다루는 데이터도 OData 피드가 활성화되어 있으면 데이터에 자유롭게 접근할 수 있다는 사양 문제라는 지적이다.
실제로 마이크로소프트 파워 앱스 사용자 대부분이 OData 설정을 잘못해 기밀 정보를 누구나 액세스할 수 있는 상태로 있었기 때문에 이번 대규모 데이터 유출로 이어졌다는 것이다.
한편 마이크로소프트 측은 이번 데이터 유출에 대해 시스템 취약점으로 인한 것으로 생각하지 않고 어디까지나 구성상 문제라고 밝히고 있다. 마이크로소프트는 문제 해결을 위해 마이크로소프트 파워 앱스 데이터가 유출되지 않았는지 확인하기 위한 도구를 내놓고 있으며 또 데이터 권한 설정을 기본적으로 적용하는 사양 변경을 예정하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
