아마존 웹 서비스(AWS) S3 스토리지 버킷의 퍼블릭 클라우드 서비스가 잘못 처리되면서 약 1400만 건의 버라이즌 고객 정보가 유출됐다.

사이버 리스크 리서치 회사인 업가드(UpGuard)는 지난달 데이터 노출을 파악하던 중 매우 민감한 데이터를 발견했다고 발표했다.

이 데이터에는 아마존 클라우드 서비스를 사용하는 사람들의 이름, 전화 번호, 주소, 계좌 잔고 및 계좌 개인 식별 번호(PIN) 등이 담겨 있었다.

업가드는 버라이즌 측에 지난달 13일 이와 같은 발견 사실을 알렸다.

업가드의 사이버 위험 연구 담당 이사인 크리스 비커리는 6월 8일 블로그 포스트를 통해 클라우드 기반의 아마존 S3 데이터 저장소가 공개 액세스 및 다운로드가 완전히 가능하도록 구성되어 있는 것을 발견했다고 전했다. 그리고 이러한 정보 유출은 6월 22일까지 조치가 취해지지 않았다.

따라서 데이터 베이스의 내용과 수 테라 바이트의 정보는 S3 URL을 입력하면 액세스가 가능했다. 특히 PIN 노출은 민감한 사안이다.

버라이즌 대변인은 ZDNet에 누가 스토리지에 액세스할 수 있었는지 조사 중이라고 밝혔다.

회사는 데이터가 실제로 도난당하지 않았음을 공개했다. 그러나 버라이즌은 어떻게 그런 결론에 도달했는지는 밝히지 않았다. 또 업가드 연구원이 어떻게 그 사실을 발견하고 보호되지 않은 정보를 검토했는지도 언급하지 않았다.

클라우드 보안 업체 인 비트 글라스(Bitglass)의 CEO인 리치 캄파냐는 "클라우드 서비스의 적절한 구성을 보장하고 불법적인 액세스를 차단하며 민감한 데이터를 암호화하는 특별한 보안 도구를 사용하면 막대한 데이터 유출을 피할 수 있다. 이러한 유형의 정보 유출은 분명히 예방 가능하다"고 말했다.

S3 스토리지는 NICE Systems에서 운영했으며, NICE Systems는 고객 추적 기술을 제공하여 버라이즌 및 다른 대규모 글로벌 기업이 헬프 데스크 및 기타 서비스 제공을 향상시키도록 한 곳이다.

NICE는 이번 사건을 조사하고 있다고 전했다.