2015.10.02

"애슐리 매디슨 사고, 개인적 이유의 해킹일 수도"

David Weldon | CIO
애슐리 매디슨(AshleyMadison.com)이 “인생은 짧다. 바람을 피워라,”라는 슬로건을 내걸었을 때 지난 달 사태를 예상했던 건 아니었을 것이다. 그러나 누군가 수백 만 명의 바람 피려고 가입했던 사람들의 온라인 신원과 성적 취향을 공개해버렸다.

이 사건은 역사상 가장 큰 규모의 개인 정보 유출사고로 이내 확대됐고, 이 온라인 소개 사이트는 역사상 최악의 IT 보안 유출사고 순위에 등극했다. 하지만 누가 그 유출을 사주했는지 외부 해커인지 내부 유출인지는 여전히 미지수인 상태다.

이 공격 사건 이전에는 많은 사람들은 “애슐리 누구?”라며 이름도 잘 몰랐지만, 이제 애슐리 매디슨은 누구나 아는 명칭이 되었다. 사이트 자체의 성격이 엄청난 관심을 불러일으킨 측면도 있다.

그렇다면 애슐리 매디슨 사이트는 사업의 성격 때문에 공격 대상이 된 걸까? 만약 그렇다면 다른 온라인 만남 사이트들 역시 해커들의 공격 우선순위라는 이야기일까?

CIO닷컴에서 이야기를 나눈 사이버 보안 전문가들은 모두 그 확률을 낮게 점쳤다. 모두가 오늘날 해커들의 최대 공격 동기가 사이트로부터 훔친 정보로 돈을 만들어내는데 있다는데 동의했다. 탐욕이 무엇보다도 최우선인 것이다.

그러나 탐욕 외의 동기가 있을 수도 있다. 몇몇 사이트들은 사회적, 정치적, 종교적 측면에서 여러 단계의 취약점들을 쌓아왔을 수 있다. 한 보안 컨설턴트는 요즘에는 거의 누구나 해커가 될 수 있고, 각각의 해커들은 나름대로 수많은 아젠다가 있을 수 있다고 강조했다.

Credit: http://pictures.reuters.com/


문제가 조금 개인적 영역으로 들어오다
“내 생각에 그건 뭔가 개인적이었던 것 같다. 전직 애슐리 매디슨 CEO에게 메시지를 보낸 이번 해커는 수많은 개인적 이야기를 남겼다. 해커들은 일반적으로 개인적인 이야기는 하지 않는 게 보통이다”라고 위스콘신 기반의 IT 보안 서비스와 데이터 유출 분석 서비스 제공 회사 홀드 시큐리티(Hold Security)의 창업자이자 CTO인 알렉스 홀든은 말했다.

그는 이어 “내가 아는 바에 의하면 애슐리 매디슨은 대체로 합법적인 사업을 하고 있었다. 정말 합법적이었는지는 의문의 여지가 있겠지만 나는 애슐리 매디슨보다 더 부적절한 활동을 하는 회사들을 50개도 더 댈 수 있다. 솔직히 이야기해서 사회적 영향이 분명히 있지만 회사 내부 사람들은 특별히 나쁜 짓을 한 것도 아니었다고 본다”라고 덧붙였다.

홀든의 회사는 최근 몇몇 온라인 소개 사이트들에서도 정보 유출이 일어났음을 발견했다. 하지만 그 사이트들은 규모가 크지도 않고 유명한 업체들이 아니었다.

홀든은 “고객들 소유의 정보를 지키고 해커들이 공격한 웹사이트를 돌아다녀보았다. 그 결과 추가적으로 수많은 여러 웹사이트에서 분명히 훔쳐낸 흔적들을 발견했다”라고 말했다.

그에 따르면 전체적으로 100개에 가까운 웹사이트들에 공격의 흔적이 있었고, 사이트에는 정보가 유출된 중요한 단서들이 남아있었다.

홀든은 “우리가 데이터를 검사했을 때 실제로 해커들이 그들이 공격한 사이트, 어떻게 공격했는지, 사이트에서 무엇을 훔쳤는지의 로그를 챙겼다는 사실을 발견했다. 그 목록에 올라온 사이트 거의 대부분과 그 사이트들 몇몇에서 훔친 데이터가 포함된 별도 파일들은 해커들이 수많은 사이트들을 거쳐갔고 그 사이트들에서 특정 유형의 정보를 훔치고자 했음을 의미한다”라고 말했다.

그에 따르면 홀드 시큐리티는 실제로 일상적으로 그런 상황들을 경험한다. 이 회사는 ‘해커처럼 생각하기’가 전문 영역 중 하나이며, 그로 인해 해커들이 가는 곳을 따라다닌다. 결과적으로 해커들이 눈독을 들이는 사이트의 유형에 대해 많은 것들을 알아냈다며 홀든은 다음과 같이 말했다.

“우리는 해커들의 눈을 통해서 보는 실제 세계 관점에서도 감사를 진행한다. 이를 통해 소개 사이트들이 전반적으로 취약하다는 점이 드러났다. 이하모니(eHarmony)와 매치닷컴(Match.com) 등의 대형 사이트들은 위험에 처하지 않았다. 위험에 처한 사이트들의 대부분은 사람들이 아주 세밀한 사생활 정보를 올린 데이터베이스가 있는 작은 사이트들이었다.”

이 사기꾼들이 대세화되지는 않을 것이다
그리고 문제는 바로 이 점일 수 있다. 애슐리 매디슨 같은 대규모 유출 사건이 새로운 건 아니다. 그러나 유출된 정보의 유형이 대부분의 해킹에서 위험에 처하는 전형적인 개인 식별 정보(PII)와 질적으로 다르다.

사람들은 표준 개인 식별 정보가 유출되면 물론 경각심을 가지고 그래야 하는 게 당연하다. 하지만 소개 사이트나 “성인” 지향적 웹사이트에 저장된 잠재적으로 불편한 유형의 정말 개인 정보들 유출은 완전히 다른 차원의 이야기다.

“이름, 주민번호, 은행계좌번호, 신용카드번호 등 전통적으로 규정되어온 개인 식별 정보가 있지만 이건 조금 더 사적인 개인 정보의 성격이다”라고 CRC의 보안 컨설턴트이자 전직 CISO인 캔디 알렉산더는 말했다.

그녀는 자신이 처음 애슐리 매디슨 유출 사고에 대해 알게 되었을 때 그리 놀라지 않았다며 다음과 같이 말했다.

“해킹을 보면 언제나 동기가 중요했다. 20여년 전 해킹이 처음 시작 되었을 때 해킹은 돈벌이가 아닌 자랑거리였다. 법규들을 피해가고 무법자가 됨으로써 그들의 우월한 지적 능력을 인정받는 게 해킹의 동기였다. 이후 해킹은 금전적 이익으로 관심을 옮겼다. 이후에는 또 개인 의료 정보를 통한 사기로도 변형되었다. 현재 시점에서는 정말로 해킹하고자 하면 누구나 해킹을 할 수 있는 시점까지 왔다.”

알렉산더는 이어 애슐리 매디슨 유출 사건이 불륜에 대한 사회적 양심적 요소가 원인이었을 것으로 추정했다.

그녀는 “우리는 정치적 그리고 지정학적 관점 그리고 사회 정의 구현적 관점에서 유래하는 해킹 행동주의가 크게 확산되고 있는 것을 보고 있다”라고 말했다.

이미 형성된 지하 시장
주요 전통적인 소개 사이트들의 경우 회원 정보의 측면에서는 정보 유출이 아직은 일어나지 않았다. 그러나 영국 매치닷컴은 사이트상의 광고를 통한 맬웨어를 공급하는 사이버 범죄자가 해킹했던 바 있다고 비트사이트 테크놀로지(BitSight Technologies)의 창업자이자 CTO인 사이버보안 전문가 스테픈 보이어는 말했다. 그는 다음과 같이 설명했다.

“매치닷컴에서 범죄자들은 크립토월(Crypto Wall)이라는 것을 설치했다. 일종의 랜섬웨어로 한번 설치되면 몸값을 내야만 풀려날 수 있다. 잠재적으로 아주 심각한 영향을 미칠 수 있다. 비록 매치닷컴이 서버는 침투당하지 않은 것으로 보이지만 그들 사이트에 나오는 광고들이 사용자 기반을 노출시키고 있었다. 그 사용자들은 이후 그들의 정보를 탈취당하거나 랜섬웨어 공격으로 저당 잡힐 수 있다.”

애슐리 매디슨 유출 사건이 해킹의 행동에 있어서의 변화를 대변하는 것인지 물었을 때 보이어는 “그렇게 생각하겠지만 그렇게 변화한 것도 시간이 좀 됐다”라고 말했다.

보이어는 ‘해브아이빈폰드’(haveIbeenpwned ; 폰드는 해킹 은어)’라는 웹사이트를 거론했다. 그는 이를 통해 60개 정도의 유출 내역을 제시했는데, 그들 중 많은 수는 ‘버려진’ 것들이었다. 유폰(YouPorn) 계정, 스냅챗(SnapChat) 계정, 어덜트프렌드파인더닷컴(AdultFriendFinder.com), 심지어 도미노 피자와 소니 계정까지 있었다.

보이어는 “왜 그런 정보가 잠재적으로 흥미로운 공격대상이 될까? 사용 가능한 정보를 품고 있기 때문이다. 현재 이런 유형의 정보에 대한 강력한 지하 경제가 형성되어 있다. 정보를 사고 팔고 거래할 수 있다. 이런 탈취된 개인 정보들은 현재 지하 시장의 화폐다”라고 말했다.  ciokr@idg.co.kr



2015.10.02

"애슐리 매디슨 사고, 개인적 이유의 해킹일 수도"

David Weldon | CIO
애슐리 매디슨(AshleyMadison.com)이 “인생은 짧다. 바람을 피워라,”라는 슬로건을 내걸었을 때 지난 달 사태를 예상했던 건 아니었을 것이다. 그러나 누군가 수백 만 명의 바람 피려고 가입했던 사람들의 온라인 신원과 성적 취향을 공개해버렸다.

이 사건은 역사상 가장 큰 규모의 개인 정보 유출사고로 이내 확대됐고, 이 온라인 소개 사이트는 역사상 최악의 IT 보안 유출사고 순위에 등극했다. 하지만 누가 그 유출을 사주했는지 외부 해커인지 내부 유출인지는 여전히 미지수인 상태다.

이 공격 사건 이전에는 많은 사람들은 “애슐리 누구?”라며 이름도 잘 몰랐지만, 이제 애슐리 매디슨은 누구나 아는 명칭이 되었다. 사이트 자체의 성격이 엄청난 관심을 불러일으킨 측면도 있다.

그렇다면 애슐리 매디슨 사이트는 사업의 성격 때문에 공격 대상이 된 걸까? 만약 그렇다면 다른 온라인 만남 사이트들 역시 해커들의 공격 우선순위라는 이야기일까?

CIO닷컴에서 이야기를 나눈 사이버 보안 전문가들은 모두 그 확률을 낮게 점쳤다. 모두가 오늘날 해커들의 최대 공격 동기가 사이트로부터 훔친 정보로 돈을 만들어내는데 있다는데 동의했다. 탐욕이 무엇보다도 최우선인 것이다.

그러나 탐욕 외의 동기가 있을 수도 있다. 몇몇 사이트들은 사회적, 정치적, 종교적 측면에서 여러 단계의 취약점들을 쌓아왔을 수 있다. 한 보안 컨설턴트는 요즘에는 거의 누구나 해커가 될 수 있고, 각각의 해커들은 나름대로 수많은 아젠다가 있을 수 있다고 강조했다.

Credit: http://pictures.reuters.com/


문제가 조금 개인적 영역으로 들어오다
“내 생각에 그건 뭔가 개인적이었던 것 같다. 전직 애슐리 매디슨 CEO에게 메시지를 보낸 이번 해커는 수많은 개인적 이야기를 남겼다. 해커들은 일반적으로 개인적인 이야기는 하지 않는 게 보통이다”라고 위스콘신 기반의 IT 보안 서비스와 데이터 유출 분석 서비스 제공 회사 홀드 시큐리티(Hold Security)의 창업자이자 CTO인 알렉스 홀든은 말했다.

그는 이어 “내가 아는 바에 의하면 애슐리 매디슨은 대체로 합법적인 사업을 하고 있었다. 정말 합법적이었는지는 의문의 여지가 있겠지만 나는 애슐리 매디슨보다 더 부적절한 활동을 하는 회사들을 50개도 더 댈 수 있다. 솔직히 이야기해서 사회적 영향이 분명히 있지만 회사 내부 사람들은 특별히 나쁜 짓을 한 것도 아니었다고 본다”라고 덧붙였다.

홀든의 회사는 최근 몇몇 온라인 소개 사이트들에서도 정보 유출이 일어났음을 발견했다. 하지만 그 사이트들은 규모가 크지도 않고 유명한 업체들이 아니었다.

홀든은 “고객들 소유의 정보를 지키고 해커들이 공격한 웹사이트를 돌아다녀보았다. 그 결과 추가적으로 수많은 여러 웹사이트에서 분명히 훔쳐낸 흔적들을 발견했다”라고 말했다.

그에 따르면 전체적으로 100개에 가까운 웹사이트들에 공격의 흔적이 있었고, 사이트에는 정보가 유출된 중요한 단서들이 남아있었다.

홀든은 “우리가 데이터를 검사했을 때 실제로 해커들이 그들이 공격한 사이트, 어떻게 공격했는지, 사이트에서 무엇을 훔쳤는지의 로그를 챙겼다는 사실을 발견했다. 그 목록에 올라온 사이트 거의 대부분과 그 사이트들 몇몇에서 훔친 데이터가 포함된 별도 파일들은 해커들이 수많은 사이트들을 거쳐갔고 그 사이트들에서 특정 유형의 정보를 훔치고자 했음을 의미한다”라고 말했다.

그에 따르면 홀드 시큐리티는 실제로 일상적으로 그런 상황들을 경험한다. 이 회사는 ‘해커처럼 생각하기’가 전문 영역 중 하나이며, 그로 인해 해커들이 가는 곳을 따라다닌다. 결과적으로 해커들이 눈독을 들이는 사이트의 유형에 대해 많은 것들을 알아냈다며 홀든은 다음과 같이 말했다.

“우리는 해커들의 눈을 통해서 보는 실제 세계 관점에서도 감사를 진행한다. 이를 통해 소개 사이트들이 전반적으로 취약하다는 점이 드러났다. 이하모니(eHarmony)와 매치닷컴(Match.com) 등의 대형 사이트들은 위험에 처하지 않았다. 위험에 처한 사이트들의 대부분은 사람들이 아주 세밀한 사생활 정보를 올린 데이터베이스가 있는 작은 사이트들이었다.”

이 사기꾼들이 대세화되지는 않을 것이다
그리고 문제는 바로 이 점일 수 있다. 애슐리 매디슨 같은 대규모 유출 사건이 새로운 건 아니다. 그러나 유출된 정보의 유형이 대부분의 해킹에서 위험에 처하는 전형적인 개인 식별 정보(PII)와 질적으로 다르다.

사람들은 표준 개인 식별 정보가 유출되면 물론 경각심을 가지고 그래야 하는 게 당연하다. 하지만 소개 사이트나 “성인” 지향적 웹사이트에 저장된 잠재적으로 불편한 유형의 정말 개인 정보들 유출은 완전히 다른 차원의 이야기다.

“이름, 주민번호, 은행계좌번호, 신용카드번호 등 전통적으로 규정되어온 개인 식별 정보가 있지만 이건 조금 더 사적인 개인 정보의 성격이다”라고 CRC의 보안 컨설턴트이자 전직 CISO인 캔디 알렉산더는 말했다.

그녀는 자신이 처음 애슐리 매디슨 유출 사고에 대해 알게 되었을 때 그리 놀라지 않았다며 다음과 같이 말했다.

“해킹을 보면 언제나 동기가 중요했다. 20여년 전 해킹이 처음 시작 되었을 때 해킹은 돈벌이가 아닌 자랑거리였다. 법규들을 피해가고 무법자가 됨으로써 그들의 우월한 지적 능력을 인정받는 게 해킹의 동기였다. 이후 해킹은 금전적 이익으로 관심을 옮겼다. 이후에는 또 개인 의료 정보를 통한 사기로도 변형되었다. 현재 시점에서는 정말로 해킹하고자 하면 누구나 해킹을 할 수 있는 시점까지 왔다.”

알렉산더는 이어 애슐리 매디슨 유출 사건이 불륜에 대한 사회적 양심적 요소가 원인이었을 것으로 추정했다.

그녀는 “우리는 정치적 그리고 지정학적 관점 그리고 사회 정의 구현적 관점에서 유래하는 해킹 행동주의가 크게 확산되고 있는 것을 보고 있다”라고 말했다.

이미 형성된 지하 시장
주요 전통적인 소개 사이트들의 경우 회원 정보의 측면에서는 정보 유출이 아직은 일어나지 않았다. 그러나 영국 매치닷컴은 사이트상의 광고를 통한 맬웨어를 공급하는 사이버 범죄자가 해킹했던 바 있다고 비트사이트 테크놀로지(BitSight Technologies)의 창업자이자 CTO인 사이버보안 전문가 스테픈 보이어는 말했다. 그는 다음과 같이 설명했다.

“매치닷컴에서 범죄자들은 크립토월(Crypto Wall)이라는 것을 설치했다. 일종의 랜섬웨어로 한번 설치되면 몸값을 내야만 풀려날 수 있다. 잠재적으로 아주 심각한 영향을 미칠 수 있다. 비록 매치닷컴이 서버는 침투당하지 않은 것으로 보이지만 그들 사이트에 나오는 광고들이 사용자 기반을 노출시키고 있었다. 그 사용자들은 이후 그들의 정보를 탈취당하거나 랜섬웨어 공격으로 저당 잡힐 수 있다.”

애슐리 매디슨 유출 사건이 해킹의 행동에 있어서의 변화를 대변하는 것인지 물었을 때 보이어는 “그렇게 생각하겠지만 그렇게 변화한 것도 시간이 좀 됐다”라고 말했다.

보이어는 ‘해브아이빈폰드’(haveIbeenpwned ; 폰드는 해킹 은어)’라는 웹사이트를 거론했다. 그는 이를 통해 60개 정도의 유출 내역을 제시했는데, 그들 중 많은 수는 ‘버려진’ 것들이었다. 유폰(YouPorn) 계정, 스냅챗(SnapChat) 계정, 어덜트프렌드파인더닷컴(AdultFriendFinder.com), 심지어 도미노 피자와 소니 계정까지 있었다.

보이어는 “왜 그런 정보가 잠재적으로 흥미로운 공격대상이 될까? 사용 가능한 정보를 품고 있기 때문이다. 현재 이런 유형의 정보에 대한 강력한 지하 경제가 형성되어 있다. 정보를 사고 팔고 거래할 수 있다. 이런 탈취된 개인 정보들은 현재 지하 시장의 화폐다”라고 말했다.  ciokr@idg.co.kr

X