영국의 한 보안 컨설팅 업체가 실시한 포렌직 IT 연구에서 일부 멀티테넌트 퍼블릭 클랑우드 서비스 업체가 “더러운 디스크”, 다시 말해 다른 고객이 사용한 후 깨끗하게 데이터를 삭제하지 않은 디스크를 사용해 민감한 데이터의 노출 가능성이 있는 것으로 조사됐다.
컨텍스트 인포메이션 시큐리티(Context Information Security)는 지난 해 퍼블릭 클라우드 환경 내에서 다른 고객들의 데이터에 액세스할 수 있는지를 확인하기 위해 네 곳의 클라우드 서비스 업체를 대상으로 조사를 진행했다. 컨텍스트의 연구 개발 책임자인 마이클 조단은 “상당히 놀랐다”며, “상당히 직접적인 테스트를 사용해 꽤 오래 전부터 디스크 상에 있었던 데이터를 볼 수 있었다”고 밝혔다.
클라우드 서비스 업체의 승인을 얻어 진행하 이번 테스트에서 컨텍스트는 퍼블릭 클라우드 상에서 구동되는 가상머신에 대해 여러 가지 디스크 분석 테스트를 진행했다. 테스트의 전제가 된 이론은 만약 하이퍼바이저가 매번 사용한 후 스토리지 디스크를 깨끗하게 지우도록 설계되어 있지 않다면, 데이터가 디스크에 남아 있어 이후 사용자가 액세스할 수 있다는 것이었다. 그리고 컨텍스트의 연구원들이 디스크의 원시 데이터를 읽어보기 위해 가상머신을 뒤져보자 이전 고객의 데이터 자투리를 찾을 수 있었다.
한 테스트에서는 이전에 디스크에 설치됐던 애플리케이션의 레퍼런스를 찾아냈으며, 다른 테스트에서는 웹 사이트 고객 데이터의 파편이나 데이터가 어디서 온 것인지를 보여주는 로그 등의 좀 더 민감한 데이터를 찾아냈다. 컨텍스트는 연구 보고서에서 “자투리 데이터는 무작위로 분산되어 있어서 악의적인 사용자가 특정 고객을 대상으로 하지 못하도록 되어 있었다. 하지만 취약점을 파악해 낸 악의적인 사용자라면 자신이 찾아낸 암호화된 데이터를 모으는데 악용할 수 있다”고 설명했다.
컨텍스트는 아마존 웹 서비스와 랙스페이스, VSP.net, 기그넷(Gigenet)을 대상으로 테스트를 진행했으며, 랙스페이스와 VSP.net에서 취약점을 발견했다. 랙스페이스는 컨텍스트와 1년 이상 시스템 업데이트를 진행해 취약점을 완전히 해결했으며, 고객 데이터가 유출된 사례는 없다고 밝혔다. VSP.net 역시 자사 시스템을 패치했다고 컨텍스트에 통보했지만, 자세한 사항을 밝히지 않았다. 또한 네트워크 월드의 코멘트 요청에 응답하지 않았다.
VSP.net은 현재 온앱(OnApp)의 기술을 사용해 클라우드 서비스를 운영하고 있다. 온앱의 임원인 카를로스 레고는 VSP.net으로부터 이런 문제에 대해 경고를 받았으며, 현재는 클라우드 서비스 업체가 한 고객이 사용한 후 모든 디스크를 자동으로 말끔히 지울 것인지를 선택할 수 있는 패치를 제공했다고 밝혔다. 하지만 온앱의 고객 클라우드 서비스 중 얼마나 많은 곳에서 새로운 패치를 적용했는지는 아직 파악하지 않았다고 덧붙였다.