사고/사건
Tata Motors 보안 결함으로 70TB 데이터 노출 위험 — AWS 키 평문 노출 사건
보도일: 2025년 10월 28일|수집일: 2026년 5월 21일
요약
보안 연구원이 인도 최대 자동차 제조사 Tata Motors의 e-커머스 플랫폼과 FleetEdge 시스템에서 AWS 접근 키가 평문으로 노출된 것을 발견하여 약 70TB에 달하는 고객·차량 데이터가 접근 가능했던 것으로 확인되었다.
본문
보안 연구원 Eaton Zveare가 Tata Motors의 e-커머스 플랫폼(E-Dukaan)과 커넥티드 차량 관리 서비스 FleetEdge에서 AWS 접근 키가 평문으로 노출된 심각한 보안 결함을 발견했다. 이 키를 통해 Amazon S3 버킷에 저장된 약 70TB 이상의 데이터에 접근할 수 있었으며, 여기에는 고객 송장, 1996년부터의 차량 텔레매틱스 기록, 딜러 성과 보고서, 내부 문서 등이 포함되어 있었다. FleetEdge는 Tata Motors의 상용차 플릿 관리 시스템으로, GPS 추적, 차량 진단, 운전자 행동 분석 데이터를 포함하고 있어 텔레매틱스 데이터의 대규모 노출 위험이 있었다. Zveare는 2023년 8월 인도 CERT-In에 신고했으며, Tata Motors는 2024년 1월까지 취약점을 수정 완료했다고 확인했다. 실제 악의적 접근이 있었는지는 공개되지 않았다.
시사점
자동차 제조사의 클라우드 인프라에서 접근 키가 평문으로 노출되는 사례는 기본적인 시크릿 관리(Secret Management)의 부재를 보여준다. 커넥티드 차량 플릿 관리 시스템은 수십만 대 차량의 위치·진단·운전 데이터를 집중 관리하므로, 클라우드 보안 설정 오류 하나로 전체 플릿의 데이터가 노출될 수 있다. 국내 OEM과 모빌리티 서비스 기업은 클라우드 접근 키 자동 순환, 시크릿 볼트 사용, 퍼블릭 접근 차단 등 기본적인 클라우드 보안 체크리스트를 철저히 적용해야 한다.