마이크로소프트의 클라우드용 객체 스토리지 서비스인 애저 블롭 스토리지(Azure Blob Storage) 구성에 설정 실수가 존재해 2.4TB에 달하는 마이크로소프트 고객 기밀 데이터가 공개 상태가 되어 있는 것으로 판명됐다. 문제를 발견한 보안 기업인 SOC레이더(SOCRadar)에 따르면 공개된 데이터에는 사용자 정보와 업무 관련 파일이 포함되어 있어 111개국 6만 5,000개 기업이 영향을 받았다고 한다.
SOC레이더는 지난 9월 24일 애저 블롭 스토리지 구성 오류를 감지하고 실수로 게시된 버킷에 기밀 데이터가 포함되어 있다는 걸 발견했다. 이 문제로 블루블리드(BlueBleed)로 명명됐고 공개 버킷에 포함된 기밀 데이터는 2.4TB에 달하는 방대한 양이었다고 한다. 민감한 데이터는 마이크로소프트와 111개국 6만 5,000개 기업과 관련이 있으며 33만 5,000건 이상 이메일, 13만 3,000개 프로젝트, 54만 8,000명 사용자 정보가 공개됐다고 한다. 실수로 공개된 기밀 데이터에는 그 밖에도 제품 주문서와 송장, 프로젝트 상세, 지적 재산에 관한 문서, 파트너에 대한 내부 평가 등이 포함되어 있었다고 한다.
이에 대해 MSRC(Microsoft Security Response Center)도 성명을 발표하고 9월 24일 SOC레이더가 마이크로소프트에 엔드포인트 구성이 잘못되어 있다는 걸 통지했다며 이 설정 실수에 의해 마이크로소프트와 잠재 고객간에 교환되는 마이크로소프트 서비스 계획, 구현 같은 일부 비즈니스 트랜잭션 데이터에 대한 인증되지 않은 액세스가 발생할 수 있다며 곧 보호되고 필요한 인증으로만 액세스할 수 있게 됐다고 밝히며 설문 조사에서 고객 계정과 시스템이 침해된 징후는 찾을 수 없었다고 보고했다. SOC데이터는 마이크로소프트가 통지 후 몇 시간 이내에 버킷을 비공개로 재구성하고 데이터 유출 위험을 줄이는데 성공했다고 밝혔다.
마이크로소프트에 따르면 이번 문제는 의도하지 않은 구성 실수에 의한 것이며 시스템에 취약성이 존재하는 건 아니라고 한다. 마이크로소프트는 이런 종류 구성 실수를 방지하는 프로세스 개선을 위해 노력 중이며 자사 모든 엔드포인트 보안을 조사, 보증하기 위해 추가 실사를 수행하고 있다고 한다.
마이크로소프트는 구성 실수가 있었다는 걸 인정하는 한편 공개 버킷 이메일이나 프로젝트, 사용자 데이터에는 중복이 존재하며 SOC레이더가 문제 범위를 크게 과장했다며 반박하기도 했다. 또 SOC레이더가 이번 구성 오류에 대한 데이터 유출을 확인하기 위한 블루블리드라는 툴을 공개한 것에 대해서도 고객 프라이버시나 보안 확보에 최선이라고는 말할 수 없으며 고객을 불필요한 위험에 노출시킬 가능성이 있는 검색 툴을 공개하는 것에 실망하고 있다고 지적했다.
이에 대해 SOC레이더는 블루블리드에선 일부 데이터를 검색엔진이 크롤링했지만 데이터는 모두 시스템에서 삭제됐다고 주장하며 누출된 데이터를 전혀 보유하고 있지 않고 전 세계적인 사이버 재해를 막고 협력과 지원을 했음에도 MSRC가 이런 의견과 비난을 한 사실에 실망했다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.