뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
마이크로소프트(MSFT)의 인기 클라우드 스토리지 서비스인 원드라이브의 파일 선택기 기능이 심각한 보안 취약점에 노출됐다는 분석이 나왔다. 아이덴티티 보안 스타트업 오아시스 시큐리티가 새롭게 발표한 보고서에 따르면, 이 취약점은 사용자의 모든 파일에 과도한 접근 권한을 부여할 수 있어 수백 개 웹 애플리케이션을 통해 수백만 명의 사용자 데이터를 위험에 빠뜨릴 가능성이 있다.
문제가 된 원드라이브 파일 선택기는 웹 애플리케이션에서 사용자가 파일을 업로드하거나 다운로드할 수 있도록 설계된 도구다. 그러나 이 기능은 OAuth 프로토콜을 통해 너무 넓은 범위의 권한을 자동으로 요청하는 구조를 갖고 있어, 사용자가 특정 파일만 공유하거나 업로드하려고 하더라도 실제로는 제3자 앱이 전체 드라이브에 접근할 수 있도록 설정되는 경우가 많다. 특히, 일시적으로 부여된 액세스 권한이 리프레시 토큰을 통해 길게는 수 시간에서 수일간 지속될 수 있다는 점 또한 문제를 키운다.
오아시스 측은 구글 드라이브나 드롭박스처럼 세부 권한을 세밀하게 나누는 접근 방식과 달리, 마이크로소프트의 파일 선택기는 과도하게 단순화돼 사용자에게 오해를 유도한다고 지적했다. 실제 사용자 동의 안내문은 특정 파일에만 접근하는 것처럼 보이지만, 실상은 전체 드라이브 내 폴더와 파일이 전면적으로 노출될 수 있다는 것이다.
게다가 구버전(버전 6.0에서 7.2)의 파일 선택기 기능은 암호화되지 않은 접근 토큰을 URL 조각(fragment)이나 브라우저의 로컬 스토리지 같은 불안정한 공간에 보관하는 암호 관리 관행이 발견됐다. 최신 버전(8.0)에서도 이러한 토큰들이 세션 스토리지상에 평문 형태로 존재하고 있어 잠재적 공격자가 브라우저 취약점을 통하거나 악성 앱을 통해 민감한 데이터에 접근할 가능성이 열려 있다.
이 같은 취약점은 슬랙, 트렐로, 클릭업, 챗GPT 등 다양한 인기 SaaS 애플리케이션이 원드라이브 파일 선택기 기능을 통합하면서 위험이 대규모로 확산될 수 있는 상황이다. 오아시스는 현재 수백 개의 앱이 해당 취약점에 노출돼 있을 것으로 추산하고 있으며, 수백만 명의 사용자가 잠재적 해킹 타깃이 될 수 있다고 경고했다.
IT 보안 인증기업 섹티고의 제이슨 소로코 수석연구원은 "이번 사례는 전형적인 '과도 권한(OAuth Overprivilege)' 문제로, 사용자 대부분은 단일 문서를 공유한다고 생각하면서도 사실상 모든 데이터를 서드파티에 넘기는 꼴"이라며, "기업 보안 담당자들은 이 같은 앱의 접근 범위를 제한하거나 최소한의 권한으로 재등록하는 정책을 수립해야 한다"고 강조했다.
오아시스의 공동창업자 대니 브릭맨은 앞서 지난 3월 더큐브 인터뷰에서도 기업의 비인간 ID 관리 중요성을 강조하며, 기업 내부 시스템이 기대보다 더 많은 권한을 외부 애플리케이션에 허용하고 있다는 점을 경계해야 한다고 밝힌 바 있다.
이번 공개는 클라우드 기반 파일 공유 서비스의 *접근 권한 관리*가 얼마나 취약할 수 있는지를 보여주는 또 하나의 사례다. 다수의 협업툴들이 원드라이브에 의존하고 있는 현실을 감안할 때, 사용자와 기업 모두가 설정된 권한의 범위를 다시 점검하고, 치명적인 정보 유출로 이어지지 않도록 선제적 대응이 필요한 시점이다.
