최근 마이크로소프트 네트워크에서 테스트용 도메인인 Example.com 트래픽이 일본의 한 전선 제조 업체로 전송되는 기괴한 현상이 발생했습니다. 인터넷 표준에 따라 보호받아야 할 도메인이 외부 기업의 서버로 연결되면서 사용자들의 테스트 계정 정보가 유출될 뻔한 아찔한 상황이 벌어진 것입니다.
Example.com 트래픽이 일본으로 향했던 황당한 사건
인터넷 기술 표준인 RFC2606에 따르면 Example.com은 누구나 테스트 목적으로 사용할 수 있도록 예약된 도메인입니다. 특정 개인이나 기업이 소유할 수 없으며 전 세계 개발자들이 시스템을 점검할 때 가상의 주소로 활용하곤 합니다. 하지만 최근 마이크로소프트의 네트워크 안에서 이 주소를 입력했을 때 일본의 스미토모 전기(Sumitomo Electric) 서버로 연결되는 현상이 확인되었습니다.
이번 오류는 아웃룩의 자동 구성 기능인 오토디스커버 서비스에서 시작되었습니다. 사용자가 테스트를 위해 해당 도메인으로 이메일 계정을 설정하려고 하면 마이크로소프트 서버가 엉뚱하게도 일본 업체의 하위 도메인 주소를 응답으로 내려준 것입니다. 이 과정에서 테스트에 사용된 아이디와 비밀번호가 외부 네트워크로 전송되었을 가능성이 제기되었습니다.
왜 테스트용 도메인이 외부 업체로 연결되었을까?
보안 전문가들은 이번 사태를 단순한 설정 오류로 분석하고 있습니다. 마이크로소프트의 내부 엔드포인트 설정 과정에서 특정 업체의 도메인 정보가 테스트용 예약 도메인 데이터베이스에 잘못 섞여 들어갔을 확률이 높습니다. 실제로 스미토모 그룹은 마이크로소프트 365 코파일럿을 도입하는 등 협력 관계에 있었지만 그렇다고 해서 자회사의 도메인이 네트워크 설정에 포함된 이유는 여전히 의문으로 남아있습니다.
- 오토디스커버 서비스의 잘못된 데이터 매핑
- 내부 관리자의 설정 실수 가능성
- 테스트 도메인에 대한 검증 프로세스 부재
이러한 현상은 약 5년 전부터 보고되었다는 기록이 있을 만큼 오랜 기간 방치되어 왔습니다. 비록 악의적인 의도가 담긴 해킹은 아니었지만 거대 IT 기업의 인프라 관리에 구멍이 뚫려 있었다는 사실은 변하지 않습니다.
MS 오토디스커버 서비스의 설정 오류 해결 방법
문제가 공론화되자 마이크로소프트는 즉각적인 수정 조치에 나섰습니다. 현재는 해당 도메인에 대해 서버 정보를 제공하지 않도록 서비스를 업데이트한 상태입니다. 이전에는 JSON 형식의 데이터를 통해 일본 서버 주소를 전달했지만 이제는 해당 요청을 보낼 경우 연결을 끊거나 찾을 수 없다는 에러 메시지를 반환하도록 변경되었습니다.
사용자 입장에서 이와 같은 인프라 차원의 오류를 직접 수정할 방법은 없지만 기업 보안 담당자라면 다음과 같은 대응이 필요합니다.
- 테스트 시 실제 계정 정보 사용 금지
- 내부 네트워크 트래픽의 비정상적인 외부 유출 모니터링
- 신뢰할 수 없는 도메인에 대한 아웃룩 자동 설정 주의
마이크로소프트는 현재 정확한 원인을 조사 중이며 재발 방지를 위해 서비스 엔드포인트를 전면 재검토하고 있는 것으로 알려졌습니다.
이번 네트워크 오라우팅 사태가 위험했던 진짜 이유
단순히 접속이 잘못된 것이라면 큰 문제가 아니었겠지만 문제는 인증 정보의 유출 가능성입니다. 개발자나 보안 점검관이 시스템 테스트를 위해 실제와 유사한 계정 정보를 입력했을 경우 이 데이터는 고스란히 일본 기업의 서버 로그에 기록될 수 있었습니다. 만약 해당 기업의 네트워크가 해킹당한 상태였다면 마이크로소프트 사용자의 정보가 고스란히 공격자에게 넘어가는 셈입니다.
실제로 2024년에도 마이크로소프트는 관리자의 실수로 테스트 계정에 관리자 권한을 부여했다가 러시아 해커들에게 침입을 허용한 전례가 있습니다. 이번 사태 역시 비록 작은 설정 오류처럼 보이지만 더 큰 보안 사고로 이어질 수 있는 전조 증상일 수 있다는 점에서 전문가들은 우려를 표하고 있습니다.
내부 인프라 보안을 강화하기 위한 3가지 점검 포인트
이번 사건을 계기로 기업들은 자체 네트워크 환경과 외부 서비스 연동 설정을 다시 한번 점검해야 합니다. 특히 클라우드 서비스를 이용하는 기업일수록 제공사의 설정값이 항상 완벽할 것이라는 믿음을 버려야 합니다.
- 공통 예약 도메인의 엄격한 관리: Example.com과 같은 도메인이 의도치 않은 외부 IP로 연결되는지 주기적으로 확인해야 합니다.
- 최소 권한의 원칙 적용: 테스트 환경에서는 절대 실제 운영 서버의 크리덴셜을 사용하지 않아야 합니다.
- 트래픽 경로 추적: 데이터가 예상치 못한 해외 IP나 특정 기업의 서버로 향하는지 네트워크 레벨에서 감시가 이루어져야 합니다.
전문가들은 이번 Example.com 트래픽 이슈가 빙산의 일각일 수 있다고 경고합니다. 보이지 않는 곳에서 발생하는 수많은 설정 오류들이 보안의 가장 약한 고리가 되고 있습니다.
마무리
마이크로소프트의 이번 실수는 단순한 해프닝으로 끝날 수도 있었지만 거대 플랫폼의 인프라 관리가 얼마나 복잡하고 취약할 수 있는지 다시금 일깨워주었습니다. 우리가 무심코 사용하는 테스트 도메인 하나도 보안 사고의 시작점이 될 수 있음을 명심해야 합니다. 지금 바로 사내 시스템이나 개인용 이메일 설정에서 혹시 모를 오설정이 남아있지는 않은지 확인해보는 습관을 가지는 것이 좋겠습니다.
이어서 보면 좋은 글
#마이크로소프트 #Example.com #네트워크보안 #IT보안사고 #아웃룩설정 #네트워크오류 #클라우드보안 #데이터유출 #일본기업트래픽 #보안점검