[더구루=오소영 기자] 삼성전자의 사물인터넷 플래폼 스마트싱스를 포함해 주요 내부 프로젝트의 민감한 정보가 유출돼 보완성이 도마 위에 올랐다.
10일 관련 업계에 따르면 아랍에미리트 사이버 보안 회사 스파이더실크의 모사브 후세인(Mossab Hussein) 연구원은 미국 정보통신기술(IT) 매체 테크크런치 기고글에서 "삼성이 스마트싱스를 비롯해 여러 내부 프로젝트에 관한 민감한 소스코드와 비밀 키를 유출시켰다"고 밝혔다.
그는 삼성 개발자들이 소스코드 저장소 '깃랩(Gitlab)'에 배포 또는 공유 목적으로 올렸던 정보가 공개로 설정돼 외부로 노출됐다고 주장했다. 비밀번호가 걸려있지 않아 누구나 프로젝트 소스코드에 접근, 다운로드할 수 있다는 설명이다.
후세인은 "스마트싱스와 인공지능 비서 빅스비(Bixby)에 대한 로그 및 데이터 분석 등이 공개돼 있었고 총 135건의 프로젝트에 접근할 수 있었다"며 "외부로 노출된 자료 중에는 안드로이드 앱에 대한 개인 인증서도 포함됐다"고 지적했다.
후세인은 지난달 10일 이 같은 조사 결과를 삼성 측에 알렸으나 회사는 30일이 돼서야 보호 조치를 취했다.
삼성은 "문제가 된 모든 키와 인증서를 신속히 폐기했다"며 "노출 원인에 대한 조사를 진행하고 있다"고 밝혔다. 또 후세인이 거론한 파일 중 일부는 '테스트용'에 그친다고 해명했다.
후세인은 "테스트용이라는 명확한 증거가 필요하다"며 즉각 반박했다. 외부로 노출된 파일의 소스코드가 안드로이드 앱과 동일해 테스트용으로 볼 수 없다는 설명이다.
그는 "삼성처럼 데이터 인프라를 관리하는 회사는 지금껏 본 적이 없다"라며 "누군가 악의를 가지고 악성코드를 주입한다면 큰 재앙이 될 것"이라고 비판했다.
