마이크로소프트, 2억5000만 고객 데이터 유출

마이크로소프트의 약 2억5000만 명의 고객 서비스 기록이 웹상에 노출된 것으로 드러났다. 

보안 업체 컴페어리테크(Comparitech)에 따르면 웹상에 공개된 약 2억5000만 건의 마이크로소프트 고객 서비스 및 지원(CSS) 기록은 2005년부터 2019년 12월까지 14년 동안 전 세계 마이크로소프트 지원 에이전트와 고객 간의 대화 로그가 포함되어 있다. 특히 암호 및 기타 인증 없이 웹브라우저에서 액세스 가능한 상태였다고 22일(현지 시각) 밝혔다.

▲출처: 컴페어리테크(Comparitech)

밥 디아첸코(Bob Diachenko)가 이끄는 컴페어리테크 보안 연구팀은 2019년 12월 29일 5개의 엘라스틱서치(ElasticSearch) 서버를 발견했으며, 각 서버에는 2억 5000만 건의 기록이 포함되어 있었다. 

디아첸코는 노출된 데이터를 발견하자마자 마이크로소프트에 즉시 통지했으며, 마이크로소프트는 이를 즉각 해결했다.

노출된 데이터는 14년간의 고객과의 대화 로그 및 이메일 주소, 계약번호, 결제정보, IP주소, 위치, 내부 메모 등이다.

이번 고객 데이터 유출 원인에 대해 마이크로소프트는 “2019년 12월 5일에 진행된 데이터베이스의 네트워크 보안그룹 변경으로 잘못 구성된 보안규칙 때문”이라고 말했다. 그러면서 “이와 관련해 '악의적인 사용' 증거는 찾지 못했다”고 밝혔다.

▲출처: 컴페어리테크(Comparitech)

이번 마이크로소프트 고객 지원 시스템과 연계된 데이터 보안 사고가 처음은 아니다.  

2013년 해커들은 소프트웨어의 버그를 추적하기 위해 회사의 비공개 데이터베이스에 침입했다. 또 2019년 1월~3월 사이에 해커들이 고객 지원 담당자의 계정을 이용해 일부 아웃룩(Outlook) 사용자 이메일 계정에 액세스할 가능성이 있다고 밝힌 바 있다.

만약 이번 고객 데이터를 해커들이 접근했다면 피싱 등 각종 사고로 이어졌을 뿐만 아니라 마이크로소프트 콜센터 직원으로 위장해 고객 컴퓨터에 악성코드를 심거나 데이터를 탈취할 수도 있었다. 따라서 고객 지원 시스템과 연계된 데이터 보안사고 방지 대책이 시급한 것으로 지적되고 있다.

김한비 기자 itnews@