2014.09.18

"은행·유통·의료까지 뚫렸다" 해커들의 진짜 목적은?

Jen A. Miller | CIO

은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다. 



해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다.

이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다.

조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다.

연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다.

맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,750~5,750억 달러 수준인 것으로 추정됐다. 지난 6월 발간한 사이버 범죄 보고서에서는 “최소치로 비교한다 해도 사이버 범죄의 경제 규모는 웬만한 국가 혹은 정부의 연간 예산을 뛰어넘는 수치를 보여주고 있다. 사이버 범죄와 지적 자산 탈취로 인한 공적 손실 규모는 앞으로도 지속적인 증가 추세를 보일 것이다”라고 분석했다.

정치적 목소리를 내는 해커들
홈데포 공격 사례에서 해커들은 자신들의 목적을 분명히 밝혔다. 향후 부패 혹은 권력과 관련한 주장을 펼치는 해커들의 출현도 예상해볼 수 있는 상황이다.

텐델은 “그들이 강력한 정치적 주장을 내세우진 않았더라도, 미국 정부가 자신들의 컴퓨터를 지켜내지 못했다는 상황은 충분히 우려해볼 사항이다. 해커들은 미국을 향해 이렇게 말하고 있다. ‘당신들의 보안 체계는 허술하며, 우리는 계속 공격할 것이다’”라고 설명했다.

포네몬 인스티튜트(Ponemon Institute)의 설립자이자 회장인 래리 포네몬은 “이번 공격의 의미는 단순히 신용 카드 정보가 유출됐다는데 있지 않다. 중요한 것은 그들이 자신들의 능력을 과시했다는 점이다. 그들은 ‘얼마든지' 강력한 공격을 할 수 있음을 보여줬다. 8월 공공 의료 시스템에 가해진 공격(450만 건의 환자 정보가 유출됐다) 역시 이러한 측면에서 우려를 낳는다”라고 바라봤다.

“그들은 일개 기업을 넘어서, 사회 주요 인프라에 침투하는데도 성공했다. 그들은 매우 전문적인 해커 집단이며 우리 사회에 치명적인 타격을 입힐 수 있다”라고 그는 덧붙였다.

포네몬은 최근 공격의 특징으로 감지의 어려움도 언급했다. JP모건 체이스에 가해진 해킹의 경우 상대적으로 낮은 수준의 기술력이 요구되는, 그리고 웹사이트가 지닌 약점을 공략하는 SQL 주입에 초점이 맞춰져 있었지만, 홈데포 사례의 경우에는 복합적인 정보 조각을 네트워크에 침투 시킨 뒤 그것들의 내부 결합을 통해 공격이 개시되는 지속형 공격(persistent attack) 전략을 통해 해킹이 이뤄졌다.

그는 “이러한 집단적 공격은 몇 년 전, 아니 최근까지만 해도 하나의 가설에 불과했다. 이것이 현실화됐다는 점이 내가 우려하는 부분이다”라고 말했다.




2014.09.18

"은행·유통·의료까지 뚫렸다" 해커들의 진짜 목적은?

Jen A. Miller | CIO

은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다. 



해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다.

이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다.

조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다.

연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다.

맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,750~5,750억 달러 수준인 것으로 추정됐다. 지난 6월 발간한 사이버 범죄 보고서에서는 “최소치로 비교한다 해도 사이버 범죄의 경제 규모는 웬만한 국가 혹은 정부의 연간 예산을 뛰어넘는 수치를 보여주고 있다. 사이버 범죄와 지적 자산 탈취로 인한 공적 손실 규모는 앞으로도 지속적인 증가 추세를 보일 것이다”라고 분석했다.

정치적 목소리를 내는 해커들
홈데포 공격 사례에서 해커들은 자신들의 목적을 분명히 밝혔다. 향후 부패 혹은 권력과 관련한 주장을 펼치는 해커들의 출현도 예상해볼 수 있는 상황이다.

텐델은 “그들이 강력한 정치적 주장을 내세우진 않았더라도, 미국 정부가 자신들의 컴퓨터를 지켜내지 못했다는 상황은 충분히 우려해볼 사항이다. 해커들은 미국을 향해 이렇게 말하고 있다. ‘당신들의 보안 체계는 허술하며, 우리는 계속 공격할 것이다’”라고 설명했다.

포네몬 인스티튜트(Ponemon Institute)의 설립자이자 회장인 래리 포네몬은 “이번 공격의 의미는 단순히 신용 카드 정보가 유출됐다는데 있지 않다. 중요한 것은 그들이 자신들의 능력을 과시했다는 점이다. 그들은 ‘얼마든지' 강력한 공격을 할 수 있음을 보여줬다. 8월 공공 의료 시스템에 가해진 공격(450만 건의 환자 정보가 유출됐다) 역시 이러한 측면에서 우려를 낳는다”라고 바라봤다.

“그들은 일개 기업을 넘어서, 사회 주요 인프라에 침투하는데도 성공했다. 그들은 매우 전문적인 해커 집단이며 우리 사회에 치명적인 타격을 입힐 수 있다”라고 그는 덧붙였다.

포네몬은 최근 공격의 특징으로 감지의 어려움도 언급했다. JP모건 체이스에 가해진 해킹의 경우 상대적으로 낮은 수준의 기술력이 요구되는, 그리고 웹사이트가 지닌 약점을 공략하는 SQL 주입에 초점이 맞춰져 있었지만, 홈데포 사례의 경우에는 복합적인 정보 조각을 네트워크에 침투 시킨 뒤 그것들의 내부 결합을 통해 공격이 개시되는 지속형 공격(persistent attack) 전략을 통해 해킹이 이뤄졌다.

그는 “이러한 집단적 공격은 몇 년 전, 아니 최근까지만 해도 하나의 가설에 불과했다. 이것이 현실화됐다는 점이 내가 우려하는 부분이다”라고 말했다.


X