마이크로소프트의 웹사이트 제작 도구인 파워 페이지의 잘못된 설정으로 인해 기업 및 공공 기관들이 수백만 명의 민감한 정보를 인터넷에 노출시키고 있다는 사실이 밝혀졌다.
보안 업체 AppOmni의 SaaS 보안 연구 책임자인 Aaron Costello는 9월에 이 문제를 발견하고, 잘못 설정된 접근 제어로 인해 내부 조직 파일 및 개인 식별 정보(PII)가 노출된 사례를 발표한다.
파워 페이지는 매달 2억 5천만 명 이상이 사용하는 저코드 SaaS 플랫폼으로, 사용자가 쉽게 외부 웹사이트를 구축할 수 있도록 지원한다. 그러나 이 플랫폼의 사전 구성된 역할 기반 접근 제어 및 삭제 또는 비활성화가 불가능한 세 가지 기본 역할 때문에 보안 문제가 발생한다.
특히 "익명 사용자"(인증되지 않은 모든 사용자)와 "인증된 사용자"(사이트에 로그인한 모든 사용자) 역할이 문제의 핵심이다. 많은 조직이 파워 페이지로 제작된 웹사이트에서 누구나 계정을 등록할 수 있도록 허용하는데, 이로 인해 외부 사용자도 "인증된 사용자" 역할을 갖게 되고, 내부 직원과 동일한 수준의 권한에 접근할 수 있게 된다.
Costello는 많은 기업이 "인증된 사용자" 역할을 내부 사용자로 간주하고 그에 따라 권한을 부여하기 때문에, 외부 사용자가 등록하여 내부 정보에 접근할 수 있는 보안 취약점이 발생한다고 지적한다. 실제로 영국 국민건강보험(NHS)의 대규모 비즈니스 서비스 제공업체에서 110만 명 이상의 NHS 직원 정보가 유출되는 사례가 있었다. 해당 유출은 현재 차단되었지만, 다른 기업들의 유출 사례도 존재하며, 기술, 의료, 금융 분야를 포함한 여러 민간 기업 및 정부 기관이 영향을 받은 것으로 알려진다.
파워 페이지는 접근 제어에 계층적 접근 방식을 사용하며, 사이트 수준, 테이블 권한, 웹 API, 페이지 권한 등 네 가지 계층으로 구성된다. Costello는 대부분의 데이터 유출이 과도하게 허용적인 테이블 접근 제어 정의, 특히 공개 등록이 활성화되어 있고 접근 유형이 "전역 접근"으로 설정된 경우에 발생한다고 설명한다.
결론적으로, 파워 페이지 사용자, 특히 공개 등록을 허용하는 사용자는 "인증된 사용자"를 외부 "익명 사용자"처럼 취급하여 접근 권한을 신중하게 설정해야 한다. SaaS 플랫폼의 사용 편의성과 보안의 균형을 맞추고, 외부 웹사이트 관리 시 보안을 우선시해야 한다.
마이크로소프트의 웹사이트 제작 도구인 파워 페이지의 잘못된 설정으로 인해 기업 및 공공 기관들이 수백만 명의 민감한 정보를 인터넷에 노출시키고 있다는 사실이 밝혀졌다.
보안 업체 AppOmni의 SaaS 보안 연구 책임자인 Aaron Costello는 9월에 이 문제를 발견하고, 잘못 설정된 접근 제어로 인해 내부 조직 파일 및 개인 식별 정보(PII)가 노출된 사례를 발표한다.
파워 페이지는 매달 2억 5천만 명 이상이 사용하는 저코드 SaaS 플랫폼으로, 사용자가 쉽게 외부 웹사이트를 구축할 수 있도록 지원한다. 그러나 이 플랫폼의 사전 구성된 역할 기반 접근 제어 및 삭제 또는 비활성화가 불가능한 세 가지 기본 역할 때문에 보안 문제가 발생한다.
특히 "익명 사용자"(인증되지 않은 모든 사용자)와 "인증된 사용자"(사이트에 로그인한 모든 사용자) 역할이 문제의 핵심이다. 많은 조직이 파워 페이지로 제작된 웹사이트에서 누구나 계정을 등록할 수 있도록 허용하는데, 이로 인해 외부 사용자도 "인증된 사용자" 역할을 갖게 되고, 내부 직원과 동일한 수준의 권한에 접근할 수 있게 된다.
Costello는 많은 기업이 "인증된 사용자" 역할을 내부 사용자로 간주하고 그에 따라 권한을 부여하기 때문에, 외부 사용자가 등록하여 내부 정보에 접근할 수 있는 보안 취약점이 발생한다고 지적한다. 실제로 영국 국민건강보험(NHS)의 대규모 비즈니스 서비스 제공업체에서 110만 명 이상의 NHS 직원 정보가 유출되는 사례가 있었다. 해당 유출은 현재 차단되었지만, 다른 기업들의 유출 사례도 존재하며, 기술, 의료, 금융 분야를 포함한 여러 민간 기업 및 정부 기관이 영향을 받은 것으로 알려진다.
파워 페이지는 접근 제어에 계층적 접근 방식을 사용하며, 사이트 수준, 테이블 권한, 웹 API, 페이지 권한 등 네 가지 계층으로 구성된다. Costello는 대부분의 데이터 유출이 과도하게 허용적인 테이블 접근 제어 정의, 특히 공개 등록이 활성화되어 있고 접근 유형이 "전역 접근"으로 설정된 경우에 발생한다고 설명한다.
결론적으로, 파워 페이지 사용자, 특히 공개 등록을 허용하는 사용자는 "인증된 사용자"를 외부 "익명 사용자"처럼 취급하여 접근 권한을 신중하게 설정해야 한다. SaaS 플랫폼의 사용 편의성과 보안의 균형을 맞추고, 외부 웹사이트 관리 시 보안을 우선시해야 한다.