by Wizard

인텔, 허술한 로그인 보안으로 직원 정보 대규모 유출: 내부 시스템 보안 강화의 중요성

최근 인텔에서 발생한 보안 사고는 기업 내부 시스템 보안의 중요성을 다시 한번 강조하는 사례입니다. 내부 포털의 허술한 로그인 시스템을 통해 27만 명이 넘는 직원 정보가 유출된 사건은 단순한 실수로 치부하기에는 그 파급력이 매우 큽니다. 이번 사건을 통해 기업은 내부 시스템 보안을 어떻게 강화해야 하는지, 그리고 보안 취약점 발견 시 어떻게 대응해야 하는지 심각하게 고민해야 합니다.

인텔, 내부 포털 로그인 시스템 취약점 노출

보안 연구원 이튼 Z(Eaton Z)는 인텔 직원들이 사용하는 비즈니스 카드 포털의 로그인 시스템에서 취약점을 발견했습니다. 그는 애플리케이션의 사용자 인증 방식을 조작하여 유효한 자격 증명 없이 데이터에 접근할 수 있었습니다. 이는 인텔 내부 시스템의 기본적인 보안 수준이 얼마나 허술한지를 보여주는 단적인 예입니다.

27만 명 직원 정보 유출: 이름, 주소, 전화번호까지

이튼 Z는 문제점을 발견한 후, 인텔 직원 27만 명의 개인 정보가 담긴 약 1GB 크기의 파일을 다운로드할 수 있었습니다. 해당 파일에는 이름, 직책, 관리자, 주소, 전화번호 등 민감한 정보가 포함되어 있었습니다. 이러한 정보가 유출될 경우, 신분 도용, 피싱 공격, 사회 공학적 공격 등 다양한 2차 피해로 이어질 수 있습니다.

다수의 내부 시스템 취약점 발견

문제는 하나의 시스템에만 국한되지 않았습니다. 이튼 Z는 "제품 계층 구조(Product Hierarchy)", "제품 온보딩(Product Onboarding)" 포털 등 다른 3개의 인텔 웹사이트에서도 유사한 방식으로 접근이 가능하다는 것을 발견했습니다. 이들 시스템에는 암호화되지 않은 하드코딩된 자격 증명이 포함되어 있었으며, 이는 쉽게 해독될 수 있었습니다. 또한 인텔 공급업체 사이트의 로그인 페이지도 우회할 수 있었습니다. 이는 인텔 내부 시스템 보안에 심각한 구멍이 뚫려있음을 의미합니다.

늑장 대응과 미흡한 보상: 인텔의 아쉬운 대처

이튼 Z는 2024년 10월부터 인텔에 해당 문제를 알렸지만, 인텔은 2025년 2월 말에야 문제점을 수정했습니다. 더욱 아쉬운 점은 이튼 Z가 버그 포상금을 받지 못했다는 것입니다. 인텔의 버그 포상금 프로그램에는 특정 조건에 따라 포상금을 지급하지 않는 조항이 있었고, 이번 경우가 그에 해당되었습니다. 이튼 Z는 인텔로부터 자동 응답 메시지 외에는 별다른 피드백을 받지 못했으며, 이는 인텔이 이번 사건을 얼마나 심각하게 받아들였는지 의문을 자아냅니다.

교훈: 기본 보안의 중요성, 그리고 보안 취약점 대응 시스템 구축

이번 인텔의 정보 유출 사건은 아무리 복잡하고 정교한 보안 시스템을 구축하더라도, 기본적인 애플리케이션 설계상의 결함이 중요한 시스템을 노출시킬 수 있다는 것을 보여줍니다. 또한 보안 취약점 발견 시 신속하게 대응하고, 이를 발견한 연구자에게 합당한 보상을 제공하는 시스템을 구축하는 것이 중요하다는 것을 시사합니다. 기업은 단순히 방화벽이나 보안 솔루션에만 의존할 것이 아니라, 내부 시스템 전반에 대한 보안 점검을 정기적으로 실시하고, 개발 단계부터 보안을 고려하는 "시큐어 코딩"을 실천해야 합니다.