최신 보안 사고 사례에 대한 분석 리포트

Snowflake 계정 탈취 연쇄 유출 사건

사건 개요

Snowflake 사건은 흔히 “클라우드 해킹”으로 묶여 이야기되지만,
실제로는 Snowflake 플랫폼 자체의 취약점이 직접 뚫린 사건이라기보다
고객 계정이 탈취되면서 다수 기업의 데이터가 연쇄적으로 유출된 사건으로 보는 것이 더 정확하다.
대표적으로 Ticketmaster, Santander 등 여러 기업이 영향을 받았고,
이 사건은 많은 조직이 클라우드를 사용하더라도
계정 보안이 약하면 데이터는 그대로 위험해질 수 있다는 점을 보여줬다.
Snowflake는 이후 보안 강화 차원에서 신규 계정에 대한 MFA 기본 적용 확대 정책을 발표했다.

이 사건이 주목받은 이유는, 많은 사람들이 클라우드 환경을
“기본적으로 안전한 공간”으로 인식하는 경향이 있기 때문이다.
하지만 실제 공격은 클라우드 제공자의 암호화 기술이나 저장 구조보다,
고객이 운영하는 계정과 인증 방식의 약점을 파고들었다.
결국 공격 표면은 인프라 자체가 아니라 사람이 운영하는 인증 체계였다.

사고 원인

Snowflake 관련 공식 문서와 이후 정책 변화를 보면 핵심은 명확하다.
많은 환경에서 비밀번호 기반 로그인 계정에 MFA가 강제되지 않았고,
일부 계정은 이미 유출된 자격증명이나 재사용 비밀번호에 노출되어 있었다.
Snowflake는 2024년 하반기 이후 신규 계정에 대해
인간 사용자(password 인증 사용자)의 MFA 등록을 기본 강제하도록 바꾸겠다고 발표했는데,
이는 당시까지는 고객 계정에 대해
MFA 적용 수준이 충분히 강제되지 않았음을 반대로 보여주는 변화이기도 하다.

즉, 이 사건의 본질은 플랫폼의 저장소가 깨진 것이 아니라,
고객 인증 정책이 느슨했던 환경에서 공격자가 정상 로그인처럼 접속했다는 데 있다.
그래서 Snowflake 사건은 기술적으로 화려한 취약점보다도,
“왜 중요한 데이터 저장소 계정에 MFA가 없었는가”,
“왜 비정상 대량 조회를 조기에 잡지 못했는가”라는 운영 질문이 더 중요하다.

대응 방식

사건 이후 Snowflake는 MFA 적용을 강화하는 방향으로 정책을 바꿨다.
공식 문서에 따르면 2024년 10월 이후 생성되는 신규 Snowflake 계정에서는
비밀번호 인증을 사용하는 인간 사용자에게 MFA 등록이 기본 적용되도록 변경되었다.
이후 2025년에도 Snowflake는 MFA 지원 방식 확대, 기본값 강화,
유출 비밀번호 보호 기능 등 추가적인 보안 조치를 계속 발표했다.

이 대응은 단순 공지성 권고를 넘어서, 서비스 제공자가 기본값을 더 안전하게 바꾸는 방향으로
움직였다는 점에서 의미가 있다. 보안은 사용자가 “알아서 잘 설정하면 안전한 구조”보다,
기본 상태부터 안전한 구조(Secure by Default) 가 훨씬 중요하기 때문이다.
Snowflake가 CISA의 Secure by Design 원칙을 언급하며 MFA 기본화를 강조한 것도 같은 맥락이다.

한계와 시사점

하지만 이 사건은 클라우드 서비스 제공자와 고객 책임 영역의 경계가 얼마나 복잡한지를 보여주기도 한다.
데이터는 Snowflake 환경에 있었지만, 문제는 주로 고객의 계정·인증 관리에서 시작되었다.
그렇다고 해서 제공자가 완전히 자유로운 것도 아니다.
기본 보안값을 얼마나 강하게 설정하는지, 비정상 대량 다운로드를 얼마나 빠르게 감지하는지,
고객이 MFA 미적용 상태를 쉽게 식별할 수 있는지 역시 매우 중요하다.

그래서 Snowflake 사례는 “클라우드는 안전한가?”라는 질문보다,
“클라우드에 접근하는 계정은 안전한가?” 라는 질문으로 읽는 편이 더 정확하다.
블로그에서 이 사건을 다룰 때는 “클라우드가 뚫렸다”가 아니라
“클라우드 계정이 뚫리면 결과는 똑같이 대형 유출이 된다”는 식으로 정리하면 훨씬 설득력이 생긴다.