GN⁺: Microsoft, 고객 클라우드 제품 보안 로그 수주일 분실 발표
(techcrunch.com)-
보안 로그 손실
- Microsoft는 일부 클라우드 제품의 보안 로그가 2주 이상 손실되었음을 고객에게 알림
- 9월 2일부터 9월 19일까지 Microsoft의 내부 모니터링 에이전트의 버그로 인해 로그 데이터 업로드에 문제가 발생함
- 보안 사고로 인한 것이 아니며, 로그 이벤트 수집에만 영향을 미쳤음
- Business Insider가 처음으로 이 로그 데이터 손실을 보도함
- 로그는 사용자 로그인 정보 및 실패 시도 등의 이벤트를 추적하여 네트워크 침입을 식별하는 데 도움을 줌
- 로그 손실로 인해 고객 네트워크의 무단 접근 식별이 어려워질 수 있음
- 영향을 받은 제품은 Microsoft Entra, Sentinel, Defender for Cloud, Purview 등임
- Microsoft는 문제를 해결하기 위해 서비스 변경을 롤백했으며, 영향을 받은 고객에게 지원을 제공할 것임
-
중국 해킹 사건과의 연관성
- Microsoft는 작년에 미국 정부 부서의 이메일을 호스팅하는 클라우드에서 보안 로그를 제공하지 않아 비판을 받음
- 중국 해커 Storm-0558이 Microsoft 네트워크에 침입하여 미국 정부 이메일에 접근함
- 미국 국무부는 더 높은 등급의 Microsoft 라이선스를 통해 보안 로그에 접근하여 침입을 식별함
- Microsoft는 2023년 9월부터 낮은 요금제의 클라우드 계정에도 로그를 제공하기 시작함
-
GN⁺의 정리
- Microsoft의 보안 로그 손실은 클라우드 보안에 대한 중요성을 다시 한번 상기시켜 줌
- 로그 손실로 인해 고객의 네트워크 보안이 일시적으로 취약해질 수 있는 위험이 있음
- 중국 해킹 사건과의 연관성은 보안 로그의 중요성을 강조하며, 기업들이 보안 로그에 대한 접근성을 높이는 것이 필요함
- 유사한 기능을 가진 보안 솔루션으로는 Splunk, IBM QRadar 등이 추천됨
Hacker News 의견
-
Azure를 실제 프로덕션 환경에서 사용하는 것은 사용자 책임임. $100,000의 무료 크레딧이 있어도 한 달 이상 사용하지 않음. 비싸고 인터페이스가 사용자 친화적이지 않으며, 제품이 프로덕션 워크로드에 신뢰할 수 없음.
- Microsoft는 더 잘할 수 있을 것이라고 생각함.
-
거의 모든 팀이 VM에서 실행하는 애플리케이션에 버그가 있었음. 애플리케이션 로그를 스토리지로 푸시하는 과정에서 문제가 발생함. 많은 팀이 수동으로 에이전트를 재시작해야 했음.
-
Microsoft의 제품이 영향을 받았음. Entra, Sentinel, Defender for Cloud, Purview 등이 포함됨.
- Entra가 영향을 받은 것은 심각함. 하지만 SSO 로그가 필요한 사람은 많지 않음.
-
Microsoft의 해외 사이버 보안 실패와 의도적인 무시를 다룬 기사를 잊지 말아야 함.
-
어떤 정보 작전이 이를 지원했는지 궁금함.
-
시스템 로그가 플랫폼의 취약점을 드러냈다는 의혹이 있음. 마케팅 부서는 로그를 잃어버리고 시간을 벌려고 한다는 냄새가 남.
-
NSA가 로그를 훔쳤는지 의문임.
-
Azure의 Batch Service는 별로임. 작업 스케줄러가 전혀 정확하지 않음.
-
왜 이 문제를 공개적으로 인정했는지 궁금함.