영화 7,600편 분량 내부 기밀 데이터 유출한 MS AI 연구진

마이크로소프트(MS) 인공지능(AI) 연구진이 실수로 개인 정보와 암호 등이 포함된 38TB(테라바이트) 분량의 민감한 내부 데이터를 유출해 파문이 일고 있다. 해당 데이터는 3만개 이상의 내부 마이크로소프트 팀 메시지, 개인 암호 등 기타 민감한 개인 데이터도 포함돼 있는 것으로 알려졌다. 

18일(현지시간) 미국 정보기술 매체 '테크크런치(Tech Crunch)' 보도에 따르면 클라우드 보안 스타트업 위즈(Wiz)는 MS의 오픈소스 코드 저장소인 '깃허브(GitHub)' 내에서 내부 정보가 유출됐다고 주장했다. 

MS AI 연구원들은 애저(Azure) 스토리지(Storage) 계정에서 데이터를 공유할 수 있는 SAS(Shared Access Signature, 공유 액세스 서명) 토큰 기능을 사용해 파일을 공유했다. 이때 외부에서의 접근 레벨을 특정 파일로 한정해야 했지만 이번 사고에서는 38TB의 개인 파일이 포함된 스토리지 계정 전체가 공유됐다는 게 위즈의 지적이다. 

유출된 데이터에는 수백 명에 달하는 MS 직원 간의 메시지, 암호 등이 포함돼 있다고 한다. 유출된 데이터만 38TB에 달하고, 이는 약 5GB(기가바이트) 크기의 FHD(Full-HD)급 영화 7,600편 분량의 데이터다. 위즈는 2020년부터 데이터를 노출한 것으로 의심되는 URL이 '읽기 전용'이 아닌 '전체 접근 허용'이 가능하도록 잘못 설정돼 있었다고 주장한다. 

데이터를 활용, 누구나 악성 콘텐츠를 주입할 우려가 큰 상황이었다고 설명했다. 위즈의 공동 설립자이자 CTO인 애미 아미 루트왁(Ami Luttwak)은 테크크런치와의 인터뷰에서 "데이터 과학자와 엔지니어들이 새로운 AI 솔루션을 놓고 경쟁하면서 이들이 다루는 방대한 양의 데이터는 추가 보안 검사와 안전 장치를 필요로 한다"며 "많은 개발 팀이 방대한 양의 데이터를 조작하고 동료들과 공유하거나, 공공 오픈소스 프로젝트에 협력해야 하는 상황 속에서 이번 사태와 같은 데이터 유출 사고는 피하기 어려워지고 있다"고 밝혔다. 

위즈는 이와 관련된 조사 결과를 3달 전 마이크로소프트와 공유했고, MS는 초동조치를 마무리하고, 지난달 잠재적인 조직 영향에 대한 조사를 완료했다고 밝힌 바 있다. 재발 방지를 위해 SAS(공유 엑세스 서명) 토큰 생성과 관련, 지나치게 느슨한 만료일 설정이나 포괄적 권한 등을 경계해야 할 것으로 보인다.