2017.03.16

러시아의 야후 해킹, 대체 어떻게?

Martyn Williams | IDG News Service
잘못된 클릭 한 번으로 대규모 데이터 유출이 발생했다.

러시아 국가 보안 서비스와 손잡은 해커들이 야후의 네트워크에 접근해 5억 명의 이메일 메시지와 개인정보에 접근하는 데 필요한 모든 작업을 끝냈다. 

미 연방수사국(FBI)은 지난 2년간 침입을 조사해 왔지만, 2016년 말이 돼서야 해킹의 전체 윤곽이 드러났다. 15일에 FBI는 야후 공격에 대해 4명을 기소했으며 그중 2명은 러시아 간첩이다.

FBI가 밝힌 내용은 다음과 같다.

해킹은 2014년 초 야후 회사 직원에게 발송된 피싱 이메일에서 시작됐다. 얼마나 많은 직원이 대상으로 지정되었는지, 얼마나 많은 이메일이 전송되었는지는 확실하지 않지만 단 한 사람이라도 링크를 클릭하면 발생할 수 있게 돼 있었다.

러시아 요원이 고용한 라트비아 해커 알렉세이 벨런은 네트워크를 파고들기 시작하면서 야후의 사용자 데이터베이스와 데이터베이스 편집에 사용되는 계정 관리 툴 등 2가지를 활용했다. 벨런은 곧 그것들을 발견했다.

그는 접근권한을 상실하지 않았고, 야후 서버에 들어갈 수 있는 백도어를 설치했으며, 12월에 야후 사용자 데이터베이스의 백업 복사본을 훔쳐서 자신의 컴퓨터로 전송했다.

이 데이터베이스에는 이름, 전화번호, 비밀번호 관련 질문과 답변, 비밀번호 복구 이메일 및 각 계정에 고유한 암호 값이 포함돼 있었다.

이는 벨런과 동료 상업 해커 카림 바라토프가 러시아 요원 드미트리 도큐차에브와 이고르 수쉬친이 요청한 특정 사용자의 계정을 타깃으로 접근하게 해주는 마지막 두 항목이다.


FBI는 야후 공격에 대해 4명을 기소했으며 그중 2명은 러시아 간첩이다.

계정 관리 도구는 사용자 이름의 간단한 텍스트 검색을 허용하지 않는 대신 해커가 복구 이메일 주소로 바꿔 놓았다. 복구 이메일 주소를 기준으로 공격 대상을 식별할 때도 있었고 이메일 도메인이 계정 소유자가 관심 있는 회사나 조직에서 일하는지를 알려줄 때도 있었다.

계정이 확인되면 해커는 야후 서버에 설치된 스크립트로 접근 쿠키를 생성하기 위해 ‘논스(nonces)’라는 도용된 암호화 값을 사용할 수 있었다. 2015년과 2016년에 여러 번 생성된 쿠키는 암호 없이도 해커가 사용자의 이메일 계정에 무료로 접근할 수 있게 했다.

전체 과정에서 벨런과 그의 동료는 감정에 치우치지 않고 냉정한 접근 방식을 취했다. 잠재적으로 접근 권한이 있는 약 5억 개의 계정 중 약 6,500개의 계정에 대해서만 쿠키를 생성했다.

해킹당한 사용자 중에는 러시아 부총재의 보좌관, 러시아 내무부 국장, 러시아 스포츠부에서 일하는 트레이너도 있다. 다른 이들은 러시아 기자, 러시아 국경 관리, 미국 정부 공무원, 스위스 비트코인 회사 직원 및 미국 항공사 직원이 있었다.

따라서 임상적 공격은 야후가 2014년 FBI에 처음 접근했을 때 해커들의 표적이 된 26건의 계정에 대한 우려로 이어졌다. 2016년 8월 말부터 전체적인 침해 규모가 뚜렷해지기 시작했고 FBI 조사가 많이 늘어났다.

2016년 12월 야후는 데이터 침해 사실을 외부에 공개했으며 수억 명의 사용자에게 비밀번호를 변경하도록 권고했다. ciokr@idg.co.kr



2017.03.16

러시아의 야후 해킹, 대체 어떻게?

Martyn Williams | IDG News Service
잘못된 클릭 한 번으로 대규모 데이터 유출이 발생했다.

러시아 국가 보안 서비스와 손잡은 해커들이 야후의 네트워크에 접근해 5억 명의 이메일 메시지와 개인정보에 접근하는 데 필요한 모든 작업을 끝냈다. 

미 연방수사국(FBI)은 지난 2년간 침입을 조사해 왔지만, 2016년 말이 돼서야 해킹의 전체 윤곽이 드러났다. 15일에 FBI는 야후 공격에 대해 4명을 기소했으며 그중 2명은 러시아 간첩이다.

FBI가 밝힌 내용은 다음과 같다.

해킹은 2014년 초 야후 회사 직원에게 발송된 피싱 이메일에서 시작됐다. 얼마나 많은 직원이 대상으로 지정되었는지, 얼마나 많은 이메일이 전송되었는지는 확실하지 않지만 단 한 사람이라도 링크를 클릭하면 발생할 수 있게 돼 있었다.

러시아 요원이 고용한 라트비아 해커 알렉세이 벨런은 네트워크를 파고들기 시작하면서 야후의 사용자 데이터베이스와 데이터베이스 편집에 사용되는 계정 관리 툴 등 2가지를 활용했다. 벨런은 곧 그것들을 발견했다.

그는 접근권한을 상실하지 않았고, 야후 서버에 들어갈 수 있는 백도어를 설치했으며, 12월에 야후 사용자 데이터베이스의 백업 복사본을 훔쳐서 자신의 컴퓨터로 전송했다.

이 데이터베이스에는 이름, 전화번호, 비밀번호 관련 질문과 답변, 비밀번호 복구 이메일 및 각 계정에 고유한 암호 값이 포함돼 있었다.

이는 벨런과 동료 상업 해커 카림 바라토프가 러시아 요원 드미트리 도큐차에브와 이고르 수쉬친이 요청한 특정 사용자의 계정을 타깃으로 접근하게 해주는 마지막 두 항목이다.


FBI는 야후 공격에 대해 4명을 기소했으며 그중 2명은 러시아 간첩이다.

계정 관리 도구는 사용자 이름의 간단한 텍스트 검색을 허용하지 않는 대신 해커가 복구 이메일 주소로 바꿔 놓았다. 복구 이메일 주소를 기준으로 공격 대상을 식별할 때도 있었고 이메일 도메인이 계정 소유자가 관심 있는 회사나 조직에서 일하는지를 알려줄 때도 있었다.

계정이 확인되면 해커는 야후 서버에 설치된 스크립트로 접근 쿠키를 생성하기 위해 ‘논스(nonces)’라는 도용된 암호화 값을 사용할 수 있었다. 2015년과 2016년에 여러 번 생성된 쿠키는 암호 없이도 해커가 사용자의 이메일 계정에 무료로 접근할 수 있게 했다.

전체 과정에서 벨런과 그의 동료는 감정에 치우치지 않고 냉정한 접근 방식을 취했다. 잠재적으로 접근 권한이 있는 약 5억 개의 계정 중 약 6,500개의 계정에 대해서만 쿠키를 생성했다.

해킹당한 사용자 중에는 러시아 부총재의 보좌관, 러시아 내무부 국장, 러시아 스포츠부에서 일하는 트레이너도 있다. 다른 이들은 러시아 기자, 러시아 국경 관리, 미국 정부 공무원, 스위스 비트코인 회사 직원 및 미국 항공사 직원이 있었다.

따라서 임상적 공격은 야후가 2014년 FBI에 처음 접근했을 때 해커들의 표적이 된 26건의 계정에 대한 우려로 이어졌다. 2016년 8월 말부터 전체적인 침해 규모가 뚜렷해지기 시작했고 FBI 조사가 많이 늘어났다.

2016년 12월 야후는 데이터 침해 사실을 외부에 공개했으며 수억 명의 사용자에게 비밀번호를 변경하도록 권고했다. ciokr@idg.co.kr

X