정용환 기자
메르세데스벤츠는 외부 커뮤니티와 경험, 가치를 공유하고 오픈소스 소프트웨어에 기여하기 위해 깃허브에 공개 저장소를 보유하고 있다. 하지만 보안 조사 기업 조사를 통해 메르세데스벤츠 자체 저장소에 액세스할 수 있는 직원 인증 토큰이 공개 공간에 배치됐으며 누구나 기밀 데이터와 지적 재산을 다운로드할 수 있었다고 한다.
보안 기업인 레드헌트랩(RedHunt Labs)은 2024년 1월 인터넷 정기 스캔을 실시했으며 깃허브 공개 저장소에서 메르세데스벤츠 직원 인증 토큰이 발견됐다고 밝혔다. 이 토큰을 사용하면 메르세데스벤츠 깃허브 엔터프라이즈 서버(GitHub Enterprise Server)에 액세스해 개인 소스 코드 저장소를 다운로드할 수 있다. 해당 저장소에는 접속 정보나 클라우드 액세스 키, 설계도, 설계서, 싱글사인온용 암호, API 키, 기타 내부 정보 등 대량 지적재산이 보존되어 있어 누구라도 무제한으로 감시되지 않고 액세스 가능하다는 설명이다. 다만 고객 데이터가 포함되어 있는지 여부는 불분명하다.
메르세데스벤츠 측은 이에 따라 API 토큰을 취소하고 공개 저장소를 곧바로 삭제했다는 사실을 인정했다. 퍼블릭 저장소에 토큰이 있던 건 인위적 실수에 의한 것으로 사내에서 조사를 실시해 시정 조치를 강구할 예정이라고 한다. 참고로 해당 토큰은 2023년 9월말 공개된 것으로 보이며 외부인이 눈치챘을지 여부는 불명이다. 메르세데스벤츠에선 2020년 깃랩 보안 설정 실수로 차재 연산 장치 소스코드가 유출되는 사안이 발생한 적도 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
