클라우드 기술 기업 서비스나우(ServiceNow)가 자사 플랫폼의 소프트웨어 버그로 인해 일부 기업 고객의 데이터가 인터넷에 노출될 수 있었다고 통보했습니다. 이 버그는 인증되지 않은 사용자도 서비스나우에 호스팅된 고객 데이터에 의도치 않게 접근할 수 있도록 허용했으며, 비밀번호와 같은 자격 증명 없이도 잠재적으로 누구나 데이터에 접근할 수 있었던 것으로 알려졌습니다.
서비스나우는 이 문제가 해킹으로 인한 것이 아니라, 버그 바운티 프로그램에 취약점을 제출하려던 보안 연구원들에 의해 발견되었다고 밝혔습니다. 회사 대변인은 보안 연구원들과 고객 연구팀의 활동으로 확인된 증거이며, 악의적인 행위자는 없었다고 설명했습니다. 연구원들은 데이터가 사용되거나 보관되지 않았다고 전했으나, 서비스나우는 영향을 받은 고객 수나 연구원들의 신원은 즉시 공개하지 않았습니다. 이 버그는 특히 서비스나우의 '오스트레일리아 릴리스' 버전을 실행하는 고객 인스턴스에서 발생했지만, 일부 사용자들은 다른 버전에서도 유사한 외부 접근 증거를 발견했다고 주장했습니다.
서비스나우는 수천 개의 기업이 내부 프로세스를 자동화하는 데 사용하는 클라우드 컴퓨팅 플랫폼입니다. IT 및 HR 시스템과 같은 다양한 앱 및 데이터베이스와 연결되는 워크플로우를 구축하여 직원 온보딩, 기술 지원 티켓 해결, 챗봇과 같은 반복 작업을 자동 처리합니다. 이처럼 민감한 고객 지원 티켓, 비밀번호, 키, 자격 증명 등 방대한 양의 중요 데이터를 저장하기 때문에 서비스나우와 같은 플랫폼은 해커들에게 매우 매력적인 표적이 될 수 있습니다.
이번 사건은 클라우드 기반 엔터프라이즈 서비스가 아무리 견고해 보여도 예상치 못한 소프트웨어 버그로 인해 심각한 데이터 노출 위험에 직면할 수 있음을 보여줍니다. 기업들은 클라우드 서비스 제공업체의 보안 조치에만 의존할 것이 아니라, 자체적인 보안 감사와 모니터링을 강화하고, 잠재적인 취약점에 대한 인식을 높여야 할 필요성을 시사합니다. 또한, 버그 바운티 프로그램과 같은 외부 보안 연구 협력의 중요성도 부각되었습니다.