구글, 기업용 서비스 계정 비밀번호 "14년간 보호조치 미흡"

구글 지스위트 서비스 초기 접속화면 캡처

[이데일리 이재운 기자] 구글이 기업용 생산성 도구 서비스 지스위트(G Suite) 일부 이용자의 비밀번호를 보호조치 없이 저장해왔던 것으로 드러났다고 22일 테크크런치, 와이어드 등 미국 주요 IT 전문매체가 보도했다.

보도에 따르면 구글은 공식 블로그를 통해 이런 사실 자체를 인정하며 ‘소수의 이용자’(a small percentage of G Suite users)에 국한된 문제로 개별 이용자에게는 영향이 없다는 점을 강조했다. 다만 기업 고객의 관리 계정 등에는 영향이 우려되는 상황이다.

지스위트는 캘린더, 메일, 문서도구 등 구글의 주요 서비스를 기업 조직 차원에서 활용할 수 있도록 돕는 서비스다. 비밀번호의 경우 인터넷 서비스 사업자는 암호화해 안전하게 보관하는 것이 기본이다. 구글은 이 문제가 비밀번호를 복구하는 기능 구현과정에서 일부 비밀번호에 제3자가 접근할 수 있는 취약점이 발생한 것으로 파악하고 이를 막는 조치를 진행했다고 밝혔다.

구글의 이번 문제점은 2005년부터 존재했던 것으로 파악됐다. 와이어드는 “14년이라는 시간은 민감한 데이터가 공지되지 않은 채 노출돼있기에 긴 시간”이라고 평했다. 만일 해당 비밀번호가 악성 해킹 공격자에게 노출됐을 경우 기업 계정 전반에 영향을 줬을 가능성도 제기된다.

구글은 자신들이 비밀번호 정보를 여러 계층에 걸친 보안조치로 보호해왔고, 이용자들에게도 비밀번호 외에 다른 인증수단을 이용하도록 하는 2단계 인증(2SV)을 제공해오는 등 보호 노력을 기울였기 때문에 심각한 상황은 생기지 않을 것이라고 강조했다.

구글 클라우드 서비스 공식 블로그에 게재된 지스위트 비밀번호 유출 버그 관련 공지문 화면 캡처