침해사고/위협동향

알리바바 클라우드, 보안 취약점 제때 보고 안 해 규제당국과 협력 중단

이종현
[디지털데일리 이종현기자] 중국 빅테크 기업 알리바바의 클라우드 자회사 알리바바 클라우드가 자사 시스템에서 심각한 보안 취약점을 발견한 후 제때 보안 당국에 신고하지 않으며 난항을 겪고 있다.

로이터 등 외신은 22일(현지시각) 21세기 비즈니스 헤럴드(21st Century Business Herald)의 보도를 인용, 알리바바 클라우드가 중국 규제당국인 중국산업정보기술부(MIIT)와의 정보 공유 파트너십을 중단당했다고 보도했다.

중국 규정상 네트워크 제품 사업자는 취약점 발견시 2일 이내에 보고해야 하지만 알리바바 클라우드가 이를 지키지 않음에 따라 불이익을 보게 됐다는 것이 주된 내용이다.

보고되지 않은 취약점은 전 세계 정보기술(IT) 기업을 괴롭히고 있는 아파치 소프트웨어 재단의 오픈소스 프로그램 ‘log4j’ 관련이다. 자바(Java) 언어로 개발되는 거의 모든 애플리케이션(앱)에 사용되는데, 애플·트위터·스팀 등 글로벌 기업부터 중소기업, 정부기관까지 log4j를 사용하는 것으로 알려졌다.

의외인 것은 log4j 취약점의 최초 제보자가 알리바바 클라우드라는 점이다. 알리바바 클라우드는 11월 24일 log4j 취약점을 발견한 후 아파치에 이를 전달, 아파치는 12월 6일에 패치된 버전을 배포했다. 공식적으로 알려진 것은 12월 9일경부터다.

아파치에는 취약점을 전달한 알리바바 클라우드가 자국 내 기관에는 보고하지 않은 것으로 확인됐다. MIIT는 알리바바 클라우드가 아닌 제3자로부터 log4j 관련 취약점을 전달받은 것으로 전해진다.

또 최초 제보자인 알리바바 클라우드가 log4j 관련 취약점으로 해킹된 정황도 확인되고 있다. 중국 기업·기관을 대상으로 해킹 활동을 펼치고 있는 한 해킹그룹은 “중국 기업을 대상으로 여러차례 log4j 취약점을 사용했다”고 주장했다. 해당그룹은 실제 알리바바 클라우드의 정보를 판매하는 중이다.

MIIT와의 협력은 6개월 이후 재평가된다. 알리바바 클라우드가 조건을 충족할 경우 다시 정보 공유 파트너십에 합류될 전망이다.

한편 로이터는 해당 조치가 민간 기업의 데이터에 대한 통제를 강화하기 위한 압박 수단이라는 시각도 전했다. 화웨이나 알리바바, 텐센트 등 자국 내 기업들의 데이터를 국영 클라우드 시스템에 마이그레이션하도록 압박하고 있는데, 이번 조치가 그 일환이라는 분석이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널