.png)
.png)
|
30일(현지시간) 와이어드, 더버지 등에 따르면 클라우드 및 사이버 보안 글로벌 기업 위즈(Wiz)의 보안 연구원인 갈 나글리는 이날 회사 블로그를 통해 “딥시크의 외부 인프라에 대한 보안 평가를 진행하는 동안 클릭하우스(ClickHouse) 데이터베이스가 인터넷에 완전히 노출된 것을 발견했다”고 밝혔다.
그러면서 사용자 채팅 기록, API 비밀키, 백엔드 세부 정보 및 운영 메타데이터 등 민감한 정보를 포함한 100만건 이상의 로그 항목이 클릭하우스 데이터베이스에 보관돼 있었으며, 이들 정보가 유출됐을 가능성이 있다고 경고했다.
나글리 연구원은 “몇 분 만에 인증 없이도 내부 데이터에 접근할 수 있는 권한을 포함해 데이터베이스 운영을 완전히 통제할 수 있었다”며 “이러한 수준의 접근은 딥시크 자체 보안은 물론 최종 사용자에게도 중대한 위험을 초래한다”고 지적했다.
외부의 악의적인 행위자들이 노출된 데이터에 실제로 접근했거나 다운로드했는지는 아직 확인되지 않았다. 딥시크는 위즈의 경고를 받은 뒤 즉시 보안 취약점을 수정한 상태다.
