마이크로소프트, 고객의 보안 로그를 한 달 동안 잃어버렸다고 경고

Microsoft Corp.는 9월 몇 주 동안 일부 보안 로그를 잃어버리게 한 소프트웨어 버그를 해결했습니다.

TechCrunch에 대한 성명에서 레드먼드의 거인은 서비스 변경을 롤백하여 버그 문제를 완화했으며, 영향을 받은 모든 고객에게 통지하고 있다고 확인했습니다.

“우리는 서비스 변경을 롤백하여 문제를 완화했습니다. 우리는 모든 영향을 받은 고객에게 소통했으며 필요에 따라 지원을 제공할 것입니다.”라고 마이크로소프트의 부사장인 존 시한이 TechCrunch에 대한 성명에서 말했습니다.

마이크로소프트의 한 임원에 따르면, 이 문제는 회사의 내부 모니터링 에이전트 내의 운영 버그로 인해 발생했으며, 이로 인해 로그 데이터를 회사의 내부 로깅 플랫폼에 업로드하지 못하게 되었습니다.

모르는 분들을 위해, 이 문제는 이번 달 초 Business Insider에 의해 처음 보고되었습니다. 이 기사는 마이크로소프트가 고객에게 거의 한 달 동안 몇 가지 주요 보안 제품에 대한 로그 데이터를 일관되게 수집하지 못했다고 알리고 있다고 전했습니다. 이는 고객이 위협을 탐지하고 보안 경고를 생성하는 능력에 영향을 미칠 수 있습니다.

9월 2일부터 9월 19일 사이에, “마이크로소프트의 내부 모니터링 에이전트 중 하나의 버그로 인해 로그 데이터를 내부 로깅 플랫폼에 업로드할 때 일부 에이전트에서 오작동이 발생했습니다.”라고 마이크로소프트는 영향을 받은 고객에게 보낸 통지에서 작성했습니다.

로그는 네트워크에서의 로그인 시도, 객체 접근, 파일 삭제와 같은 시스템 내 이벤트의 중요한 기록입니다.

로그는 네트워크 방어자가 의심되는 침입을 식별하는 데 도움을 줄 수 있습니다. 그러나 적절한 로그 기록 없이는 문제를 식별하고 추적하기 어려워져 잠재적인 침입 사례를 놓칠 수 있습니다.

“이 문제는 고객이 사용하는 서비스나 리소스의 가동 시간에 영향을 미치지 않았습니다. 오직 로그 이벤트 수집에만 영향을 미쳤습니다. 또한, 이 문제는 보안 침해와 관련이 없습니다.”라고 통지가 설명했습니다.

영향을 받은 제품에는 신원 관리 서비스인 Microsoft Entra, 보안 정보 및 이벤트 관리 제품인 Microsoft Sentinel, 클라우드용 Microsoft Defender 및 데이터 손실 방지 제품인 Microsoft Purview가 포함됩니다.

“Microsoft Sentinel 고객은 보안 관련 로그 또는 이벤트에서 잠재적인 공백을 경험했을 수 있으며, 이는 고객의 데이터 분석, 위협 탐지 또는 보안 경고 생성 능력에 영향을 미칠 수 있습니다.”라고 통지가 경고했습니다.

자세한 정보는 영향을 받은 고객에게 발송된 사전 사고 검토(PIR)를 확인할 수 있습니다.

마이크로소프트에 따르면, 로깅 실패는 회사의 로그 수집 서비스를 해결하는 과정에서 우연히 도입된 버그로 인해 발생했습니다.

회사는 버그를 수정할 때 안전한 배포 관행을 따랐지만, 새로운 문제를 즉시 감지할 수는 없었다고 설명했습니다.

결과적으로 문제를 식별하는 데 며칠이 걸렸습니다.