스위스 정부, 민감정보 처리에 SaaS·클라우드 사용 금지...마이크로소프트365 명시적 제외

스위스 공공기관, 종단간 암호화 부재와 미국 클라우드법 우려로 하이퍼스케일 클라우드 서비스 배제 결정

[한국정보기술신문] 스위스 정부가 민감한 개인정보와 기밀 데이터 처리에 있어 대형 클라우드 서비스와 SaaS 솔루션 사용을 금지하는 결의안을 채택했다. 스위스 개인정보보호책임자회의 프리바팀은 지난주 결의안을 통해 공공기관들에게 하이퍼스케일 클라우드와 SaaS 서비스 사용을 피할 것을 권고했다.

프리바팀은 결의안에서 대부분의 SaaS 솔루션이 서비스 제공자의 평문 데이터 접근을 차단하는 진정한 종단간 암호화를 제공하지 않는다고 지적했다. 특히 미국 클라우드법 적용 대상인 서비스들은 스위스 정부기관이 민감한 개인정보나 법적 기밀유지 의무가 있는 데이터를 저장하기에 적합하지 않다고 판단했다.

결의안은 클라우드와 SaaS 서비스 제공자들이 서비스 약관을 일방적으로 변경할 수 있어 보안과 개인정보 보호 조항이 약화될 수 있다는 점도 우려 사항으로 제시했다. SaaS 애플리케이션 사용은 상당한 통제권 상실을 초래하며, 공공기관은 기본권 침해 가능성에 영향을 미칠 수 없고 민감한 데이터를 통제 영역 밖으로 내보내지 않음으로써 잠재적 침해의 심각성만 완화할 수 있다고 설명했다.

프리바팀은 대형 국제 제공업체의 SaaS를 대부분의 경우 허용해서는 안 된다고 결론지었으며, 부적절한 서비스의 예로 마이크로소프트365를 명시적으로 언급했다.

깃랩 공개 저장소서 1만7천개 보안 비밀키 발견

보안 엔지니어 루크 마샬이 깃랩의 공개 저장소 560만개 전체를 스캔해 1만7천개의 실제 작동하는 보안 비밀키를 발견했다고 밝혔다. 트러플시큐리티 블로그에 게재된 분석에 따르면, 마샬은 깃랩 API를 활용해 모든 공개 저장소 목록을 생성하고 AWS SQS 큐와 람다 함수를 사용해 24시간 내에 전체 저장소를 스캔했다.

스캔 결과 구글 클라우드 자격증명 5천개 이상, 몽고DB 자격증명 2천개 이상을 비롯해 오픈AI, AWS, 텔레그램 봇 토큰 등이 발견됐다. 마샬은 깃랩이 비트버킷 대비 저장소당 유출된 비밀키 밀도가 약 35퍼센트 높다고 분석했다. 이번 스캔 비용은 약 770달러가 소요됐다.

스트라바, 민감 직책 종사자에 위치정보 공유 위험 경고

운동 추적 앱 스트라바가 2026년 1월 1일부터 시행되는 서비스 약관 초안을 공개하며 사용자들에게 위치정보 기능 사용과 관련된 모든 위험을 수용할 것을 요구하고 있다. 스트라바는 달리기, 걷기, 하이킹, 자전거 타기 등 야외 활동 지도를 생성하는 기능을 제공하는데, 이 데이터가 과거 군사기지 위치와 프랑스 대통령 경호원의 위치를 노출한 바 있다.

새로운 약관은 위치정보 사용과 관련된 위험에 대해 스트라바의 책임을 면제하며, 민감한 직무나 신뢰받는 직책에 종사하는 경우 위험이 더 클 수 있다고 명시했다.

이란 해킹그룹 차밍키튼 내부문서 유출

이란 반체제 활동가이자 독립 사이버 스파이 연구자인 나리만 가립이 이란의 해킹그룹 차밍키튼의 활동을 설명하는 유출 문서 분석 결과를 발표했다. 가립은 유출된 문서가 차밍키튼을 암살 작전과 연결한다고 밝혔다.

가립에 따르면 해킹으로 침해된 항공사 데이터베이스, 호텔 예약 시스템, 의료기록 등 모든 정보가 이란 정권이 적으로 간주하는 사람들을 찾아 살해하기 위한 시스템에 공급된다. 차밍키튼은 공격 도구 개발, 표적 침투, 피싱 캠페인 운영 전담팀을 운영하는 정교한 조직이며, 2017년부터 활동해왔고 규모와 정교함이 계속 증가하고 있다고 설명했다.

이스라엘군, 고위 장교 안드로이드 사용 금지

이스라엘 방위군이 고위 장교들의 안드로이드 스마트폰 사용을 금지한 것으로 알려졌다. 예루살렘포스트 보도에 따르면 이스라엘 군 라디오는 지난주 고위 장교들의 iOS 기기 사용을 명시하는 표준 운영 환경을 정의하는 명령을 예고했다. 이 명령은 소셜미디어 앱을 통한 감시 노출을 줄이기 위한 조치로 분석된다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org