[글로벌-Biz 24] 삼성전자, 개발자 민감 정보 유출

삼성전자의 개발자들이 제품 및 서비스 개발을 위해 활용하는 깃랩(GitLab)에 들어있는 민감한 정보들이 유출됐던 것으로 전해졌다.

8일(현지 시간) 복수의 IT전문매체들에 따르면 두바이에 본사를 둔 사이버 보안 회사인 스파이더실크의 보안 연구원인 모사브 후세인은 지난달 삼성소유 도메인인 Vandev Lab에서 호스팅되는 깃랩에 있는 이들 정보들이 공개돼 있는 것을 우연히 발견했다.
이들 정보들은 스마트씽스(SmartThings) 플랫폼이나 빅스비(Bixby) 서비스 등 내부 프로젝트에 매우 민감한 소스 코드와 자격 증명, 깃랩의 다양한 직원 토큰, 비밀 키 등을 포함하고 있다.

문제는 이 정보들이 앱이나 서비스 및 프로젝트 개발 중에 사용하는, 보안이 필요한 정보임에도 공개로 설정돼 있어 각 프로젝트 내부를 액세스하고 소스 코드를 다운로드할 수 있게 돼 있었다는 점이다.

모사브 후세인은 지난달 10일 삼성에 이같은 조사 결과를 전달했으나 삼성은 4월 30일이 돼서야 보호조치를 취한 것으로 알려졌다.

삼성측은 이와 관련해 인증 데이터들이 신속하게 폐기됐고 일부 파일은 테스트 환경에서만 접근이 가능한 것들이라고 해명했다.

모사브 후세인은 누군가가 제품이나 서비스의 소스 코드를 다운로드 받아 이를 이용해 사용자들에게 바이러스 유포 등 멀웨어 공격을 할 수 있다고 우려했다.


김환용 글로벌이코노믹 편집위원 khy0311@g-enews.com