구글의 데이터 시각화 도구 '루커 스튜디오'에서 해커가 사용자 정보에 접근할 수 있는 심각한 보안 결함이 다수 발견돼 이용자들의 주의가 요구된다.
12일(현지시간) IT 전문매체 테크레이더에 따르면 미국 보안업체 테너블은 구글 루커 스튜디오에서 총 9개의 보안 취약점을 발견했다고 밝혔다. 테너블은 이들 취약점을 통칭해 '리키루커'(LeakyLooker)로 명명했다.
이 취약점들은 공격자가 대상 데이터베이스에 임의의 SQL 쿼리를 실행해 구글 클라우드 환경에서 민감한 데이터를 빼낼 수 있도록 허용한다. 구글 시트, PostgreSQL, MySQL 등 대부분의 루커 스튜디오 데이터 커넥터 사용자가 영향권에 있었던 것으로 파악됐다.
테너블은 보고서의 실시간 업데이트를 위한 '라이브 데이터' 아키텍처가 공격에 취약했다며 "공격자는 피해자의 별도 조작이 필요 없는 '제로클릭'이나 악성 웹사이트를 열도록 유도하는 '원클릭' 방식으로 이를 악용할 수 있었다"고 설명했다.
특히 '보고서 복사' 기능에 존재했던 '스티키 크리덴셜'(Sticky Credential) 논리 결함이 가장 심각한 문제로 꼽혔다. 이를 통해 공격자는 원본 소유자의 자격 증명을 그대로 유지한 채 보고서를 복제할 수 있었던 것으로 드러났다.
루커 스튜디오는 구글이 제공하는 무료 데이터 시각화 및 보고 도구로, 원시 데이터를 대화형 대시보드와 보고서로 변환해준다. 관련 제품군은 월간 활성 이용자가 1000만명이 넘을 정도로 널리 사용된다.
구글은 현재 9개 취약점을 모두 전 세계적으로 패치 완료한 상태다. 테너블은 사용자들에게 공개 및 비공개 보고서에 대한 '보기' 접근 권한을 가진 사용자를 정기적으로 검토할 것을 권고했다.