사이버보안 데이터 유출 API 보안 국방부 계약 멀티테넌트 보안

미국 국방부와 계약을 맺은 방위 기술 기업이 허가되지 않은 접근을 허용하는 API 보안 취약점으로 인해 군 훈련 자료와 병력 정보가 유출되었다고 보안 연구기관 스틱스(Strix)가 밝혔다.

스키마타(Schemata)라는 AI 기반 가상 훈련 플랫폼을 운영하는 해당 기업은_API 엔드포인트에 적절한 인증·인가 체계를 구축하지 않아 발생한 이 문제로 인해, 저권한 계정으로도 타 조직의 데이터에 접근할 수 있었다고 스틱스는 설명했다.

스틱스에 따르면, 2025년 5월 1일 노출된 이 취약점은 150일간의 공개 절차를 거쳐 확인되었으며, 스틱스는 사전 조치 완료를 확인한 후 이 문제를 공개했다. 스틱스는 초기 신고 시점으로부터 152일 만에 이 문제를 공개했다고 밝혔다.

유출된 데이터의 범위

  • 해군 정비 인원을 위한 3D 가상 훈련 과정(기밀·독점 표기)
  • 육군 폭발물 처리 및 전술 배치 관련 필드 매뉴얼 포함 과정
  • 수백 명의 사용자 명단(이름, 이메일, 소속 부대 및 훈련 등록 정보)
  • AWS 인스턴스에 저장된 문서 직접 링크

취약점의 심각성

이 문제는 멀티테넌트 환경에서 사용자별 접근 권한을 제대로 제어하지 못한 데서 기인했다. 스틱스는 저권한 계정을 이용해 정상적인 브라우저 트래픽을 모니터링하고 API 엔드포인트를 식별한 뒤, 동일한 세션으로 고가치 데이터를 요청했을 때 타 조직의 레코드가 반환된다고 밝혔다. 이는 API가 테넌트 경계나 사용자 권한을 제대로 enforced하지 못했다는 것을 의미한다.

또한 일부 API 경로는 ‘쓰기 가능’ 상태로 확인되어 악의적 공격자가 훈련 과정을 수정하거나 삭제할 수도 있었다고 스틱스는 우려했다(스틱스는 파괴적 테스트는 수행하지 않았다).

기업의 대응과 논란

스틱스는 2025년 12월 2일 처음 스키마타에 취약점을 신고했으나, 스키마타 CEO는 “취약점을 듣고 싶지만 유료로 제공하려는 건가요?”라는 반응을 보였다고 밝혔다. 스틱스는 보상 요구가 없으며 사용자 안전을 우선시한다고 설명했지만, 스키마타 측은 12월 8일부터 29일까지 여러 차례 재촉한 후야 비로소 문제를 인지했다고 스틱스는 전했다.

스키마타는 공식 홈페이지에 “고객 데이터가 제3자에 의해 악용된 증거는 없다”는 입장을 밝혔다. 그러나 이 같은 공개 절차는 정부 관련 데이터를 다루는 기업들이 취약점을 어떻게 처리하는지에 대한 문제를 제기한다.

이번 사건은 민감한 군사 데이터를 다루는 시스템에서_API 보안 강화의 중요성을 다시 한 번 강조하고 있다.

출처: CyberScoop
트럼프 행정부의 학자금 대출 제한, 의료 인력난 악화 우려
← 이전

트럼프 행정부의 학자금 대출 제한, 의료 인력난 악화 우려

 제인 폰다, 전 남편 테드 터너에 대한 추억과 헌사 공개
다음 →

제인 폰다, 전 남편 테드 터너에 대한 추억과 헌사 공개