[CIOCISO매거진 김은경 기자] 미국 월스트리트저널이 상하이 경찰 당국이 알리바바 그룹 클라우드 사업부의 임원들을 소환 조사했다고 최근 보도했다.

앞서 지난달 말 한 해커가 중국인 10억명에 대한 정보 등 상하이 경찰이 보유한 23TB 이상 방대한 분량의 데이터를 해킹해 빼돌렸다는 글을 한 온라인 사이버범죄 포럼에 올렸다.

이 글이 올라온 뒤 지난 1일 알리바바 고위 간부들과 클라우드 담당 부서가 긴급 대응팀을 구성했다. WSJ는 상하이 경찰 당국이 알리바바 클라우드의 보안사업 담당 부사장인 천쉐숭 등 임원들을 불러들여 회의했다고 전했다.

수사가 계속되는 가운데 알리바바 클라우드는 직원들에게 DB의 기본 구조, 정부 기관이나 금융기관 등 핵심 고객들과의 계약상 설정 등 세부 사항을 보고하도록 지시했다.

이와 관련해 미국 IT 보안업체인 시큐리티디스커버리, 리킥스가 관련 사이트들을 조사한 결과 유출된 DB가 알리바바 클라우드에 저장돼 있었다.

알리바바가 제공한 DB와 이 DB 대시보드는 암호 보호 등 아무런 보안 기능이 없는 수년 전 버전의 소프트웨어를 사용하고 있었다. 그 결과 관리 사이트에 암호가 걸려 있지 않았을 뿐 아니라 암호를 설정할 방법도 없었던 것으로 보인다.

또한 DB 자체는 보안이 설정된 프라이빗인 폐쇄형 클라우드에 저장돼 있었지만, 전문가들은 관리 사이트가 일반 인터넷에 노출돼 있어 해커가 아무 걸림돌 없이 정보를 빼낼 수 있었다고 지적했다.

해커가 제공한 샘플에 따르면 도난당한 데이터는 엄청난 다수 중국인의 이름, 주민번호, 전화번호와 상하이 경찰이 가진 범죄 기록, 또 다른 민감한 정보들을 포함하고 있다.

알리바바는 또 해당 DB에 2017년 9월 보안 인증서를 설정하고 수년 뒤 인증서 기한이 만료된 이후에도 갱신하지 않아 인증서가 삭제되기도 했다.

리킥스는 최소한 지난 4년간 문제의 DB가 아무 유지보수 없이 방치돼 있었음을 보여주는 것이라고 설명했다.

아울러 이들의 조사 결과 알리바바 클라우드 상의 다른 13개 DB도 문제의 DB와 마찬가지로 낡은 DB·관리 사이트 시스템을 쓰고 관리 사이트가 인터넷에 노출돼 있었으며, 보안 인증서도 없다는 취약점을 드러냈다. 이들 DB 중 두 곳은 데이터가 92TB, 60TB에 달해 해킹된 DB보다도 용량이 훨씬 컸다.

시큐리티디스커버리 측은 악의적인 공격자의 경우 단 하루면 이런 DB를 탈취, 확보할 수 있다고 지적했다.