[AI리포터]
[디지털투데이 AI리포터] AI를 활용한 법률 지원 툴 파일바인(Filevine)에서 약 10만건의 기밀 파일에 접근할 수 있는 취약점이 발견됐다.
7일(현지시간) 온라인 매체 기가진에 따르면, 해당 취약점은 보안 연구원을 통해 제보됐으며 현재는 패치가 완료된 상태다.
파일바인은 판례 관리, 문서 관리 등 다양한 법률 업무를 지원하는 SaaS 플랫폼으로, 여러 차례 투자 유치를 거쳐 기업 가치가 10억달러를 넘어선 유니콘 기업이다. 법률 플랫폼 특성상 고객사가 보유한 대부분의 파일이 민감한 기밀 정보인 만큼 높은 수준의 보안이 필수적으로 요구돼 왔다.
 |
[디지털투데이 AI리포터] AI를 활용한 법률 지원 툴 파일바인(Filevine)에서 약 10만건의 기밀 파일에 접근할 수 있는 취약점이 발견됐다.
7일(현지시간) 온라인 매체 기가진에 따르면, 해당 취약점은 보안 연구원을 통해 제보됐으며 현재는 패치가 완료된 상태다.
파일바인은 판례 관리, 문서 관리 등 다양한 법률 업무를 지원하는 SaaS 플랫폼으로, 여러 차례 투자 유치를 거쳐 기업 가치가 10억달러를 넘어선 유니콘 기업이다. 법률 플랫폼 특성상 고객사가 보유한 대부분의 파일이 민감한 기밀 정보인 만큼 높은 수준의 보안이 필수적으로 요구돼 왔다.
문제가 된 취약점은 서브도메인 열거 기법을 사용한 접근 과정에서 드러났다. 외부 데모 사이트를 탐색하는 과정에서 'margolis.filevine.com'이라는 서브도메인이 확인됐고, 접속 시 실제 고객이 사용하는 것으로 추정되는 파일바인 관리 페이지가 노출됐다.
단순 접속만으로는 페이지가 로딩만 반복됐지만, 웹 개발자 도구 분석과 페이로드 구성을 통해 서버 응답을 받아내는 데 성공하면서 보안 문제가 본격적으로 드러났다. 추가 분석 결과, 고객사가 이용 중인 클라우드 스토리지 서비스 박스(Box)의 관리자 토큰이 노출돼 있었으며, 이를 통해 박스에 저장된 문서에 완전 접근이 가능한 상태였던 것으로 확인됐다.
특히 기밀(confidential) 키워드로 검색한 결과 약 9만8000건의 문서가 노출 가능 상태였던 사실도 드러났다.
이번 사건은 대량의 민감 정보를 다루는 법률 SaaS 플랫폼에서도 잠재적 보안 취약점이 존재할 수 있음을 보여주는 사례로, 업계에서는 보안 점검 강화 필요성이 다시금 제기되고 있다.
<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.