닛산자동차 미국지사의 내부 소스코드가 2021년 1월 4일경 유출되었습니다. 토렌트 링크와 해킹 포럼 등의 경로로 유포되었으며, 닛산은 당월 7일 유출 사실을 확인하였습니다.

2020년 8월 인텔 릭 분석으로 유명한 틸리 코트만의 트위터 계정에 올라온 게시글에 따르면, 닛산 모바일 앱과 내부 진단 도구, 차량 코어 모바일 라이브러리 등의 소스코드가 포함되어 있다고 합니다.

해커는 어떻게 자료를 획득했을까요?

닛산은 내부적으로 소스 코드를 관리하는 Bitbucket Git 리포지토리 서버를 운영하고 있었습니다. 그러나 Git 서버의 보안이 허술하게 관리되어 아이디와 비밀번호가 admin / admin인 기본 계정이 그대로 있었고, 해당 서버는 외부망에서 접속 가능한 상태였습니다. 해커는 이 계정을 활용하여 내부 소스코드를 탈취하였다고 합니다.

이와 비슷한 사례로 메르세데스-벤츠의 2020년 5월 소스코드 유출 사건이 있습니다. 내부적으로 관리하는 GitLab 서버의 보안 설정이 제대로 되지 않아, 제3자가 Git 리포지토리에 자유롭게 접근 가능했을 뿐만 아니라 계정 생성까지 가능했습니다. 결국 메르세데스-벤츠에서 사용하는 프로그램 및 각종 도구들의 소스코드가 유출되어 MEGA와 Internet Archive와 같은 각종 웹사이트에 유포되었습니다.

정보 유출 사고는 기업이나 단체의 규모와 무관하게 상당히 빈번하게 발생하고 있습니다. 서버 주소가 공개되지 않아도, 해커는 IP 또는 DNS 서브도메인 스캐닝 등의 테크닉으로 외부로부터 접근 가능한 서버를 쉽게 알아낼 수 있습니다. 회사 내부에서 사용되는 서비스가 검색 엔진에서 노출되는 경우도 있으므로, 기밀 자료 보안을 위해 방화벽이나 robots.txt 설정 등 적절한 보안 조치를 검토하는 것이 좋습니다.

닛산의 입장

다음은 미국 ZDNet 언론사 기사에서 발췌한 닛산의 입장문입니다.

Nissan conducted an immediate investigation regarding improper access to proprietary company source code. We take this matter seriously and are confident that no personal data from consumers, dealers or employees was accessible with this security incident. The affected system has been secured, and we are confident that there is no information in the exposed source code that would put consumers or their vehicles at risk.^[1]

닛산은 Git 서버를 내리는 조치를 취한 후 소스코드 유출 사실을 공개적으로 인정하였습니다. 닛산은 유출된 자료를 조사한 결과 고객과 거래처 및 직원의 개인정보나 제품 안전에 위협이 될 만한 자료가 포함되어 있지는 않았다고 발표했습니다.

결론

매년 다양한 곳에서 정보 유출 사고가 발생하고 있습니다. 정보 유출 사고는 전문적이고 기술적인 해킹을 통해서도 일어나지만, 운영상의 실수나 내부자에 의해 발생하기도 합니다. 회사에서는 핵심 서비스 뿐만 아니라 그 외의 서비스들에 대해서도 전체적인 서비스에 대한 지속적인 보안 점검을 해야 합니다. 사내에서 사용되는 서비스 또한 적절한 권한 관리 및 로깅을 통해 정보 유출의 가능성을 줄일 수 있습니다.

저희 티오리에서는 인텔 자료 유출 사건과 같은 일을 사전에 예방하고자 기업 보안을 체계적으로 관리할 수 있도록 코드 오딧, 모의 해킹, Advanced Persistence Threat (APT) 공격등 다양한 서비스를 제공합니다. 또한 보안을 잘 모르는 개발자도 쉽게 공부하고 현업에서 사용할 수 있는 기술을 드림핵이라는 플랫폼으로 제공하며 커뮤니티에 기여하고 있습니다. 드림핵 사용자분들과 우리 모두가 안전하게 기술의 편리함을 누릴 수 있도록 더욱 노력하겠습니다.