2016.09.22

"모니터링" vs. "해킹 지원"··· '리크드소스' 위험성 논란

Michael Kan | IDG News Service
겉으로는 사람들에게 데이터 침해를 경고하며 '착한' 일을 하지만, 실제로는 '악한' 행동을 하는 것으로 보이는 사이트가 있다. 바로 대형 온라인 저장소인 리크드소스(LeakedSource)이다. 여기에는 이메일 주소와 관련 인터넷 계정, 비밀번호 등의 정보가 보관돼 있는데, 실제로는 더 쉽게 해킹을 할 수 있도록 도와주는 것일 수도 있다.


Image Credit: Michael Kan

이 대형 저장소에는 링크트인(LinkedIn), 마이스페이스(MySpace), 드롭박스(Dropbox) 등 다양한 사이트에서 유출된 데이터베이스가 쌓여있다. 이 사이트는 스스로를 '데이터 침해 모니터링' 사이트로 홍보하고 있으며, 최근 몇달 동안 과거 및 현재의 해킹 관련 데이터를 수집해 언론사에 제공하기도 했다.

그러나 이 저장소에는 불법으로 판단되는 기능이 있다. 도난 당한 정보를 검색할 수 있는 기능이 대표적이다. 이로 인해 리크드소스는 초보 해커를 위한 도구로 악용될 수 있다.

해킹을 위한 자원
하루 2달러를 내고 리크드소스를 구독하면, 이메일 주소와 사용자 이름을 입력해 이를 등록에 이용한 인터넷 계정에 대한 정보를 볼 수 있다. 여기에 그치지 않는다. 리크드소스는 가능할 경우 이와 연결된 비밀번호를 '크랙'해 준다. 이 검색 기능은 HackForums.net에서 인기를 끌었다. 한 레딧 사용자는 '스크립트 키디(Script Kiddies, 초보 해커)'들의 온상이라고 말하기도 했다.

이 포럼에는 해킹에 리크드소스를 이용하는 방법에 대한 글이 많이 올라와 있다. 한 사용자는 이에 관한 전자책을 8달러에 판매하고 있다. 또 리크드소스를 이용해 소셜 미디어 계정을 해킹하는 방법, 개인정보를 빼내 온라인에 유출하는 방법을 조언하는 사용자도 있다. 한 사용자는 "엘리트 해커가 돼 거드름을 부리고 싶은가? 리크드소스라는 데이터베이스 검색을 이용해 유튜브 사용자 계정을 해킹하는 방법을 간단히 소개한다"라고 적었다.

리크드소스 측은 사이트의 합법성에 대한 문의에 대해 답변을 거부했다. 이 서비스는 운영자가 누구인지도 알려져 있지 않다. 단지 해킹을 반대한다고 주장하고 있을 뿐이다. 그러나 2015년 10월 HackForums.net에서 자신을 홍보한 흔적이 있다. 이메일로 이에 대해 확인을 요청했지만 역시 답변이 없었다.

대신 리크드소스 측은 자신이 분류해 보관하고 있는 정보가 이미 인터넷에 공개된 정보라고 주장했다. 사이트 관계자는 마이스페이스와 링크트인의 도난 당한 데이터베이스 링크가 포함된 이메일에서 "우리를 비난하기 전에 알아야 할 점이 있다. 누구나 '깨끗한' 웹에서 수십 억 줄의 정보를 다운로드 받을 수 있다는 것이다"라고 말했다.


법적 문제점
또한 사이트 측은 데이터 침해에 책임이 없다고 주장했다. 다크 웹(Dark Web)을 검색해 도난 당한 데이터베이스를 수집하거나, 익명의 해커로부터 정보를 제공받는다고 설명했다. 리크드소스 관계자는 "우리가 하는 일을 좋아하는 해커들이 많다. 일부는 유명세를 원하고, 일부는 자신의 '적'이 데이터를 팔아 이익을 챙기는 것을 원하지 않는다"고 말했다.

그러나 법률 전문가들은 해킹에 직접 관여하지 않았다고 해도 이 사이트의 활동을 범죄로 볼 수도 있다고 지적했다. 샌프란시스코 대학(University of San Francisco)의 법학 교수인 수잔 프리왈드는 도난 당한 비밀번호를 사이트에 게시하는 것은 일종의 '도청(wiretapping)'이라고 말했다. 미국의 전기전자 통신 개인정보 보호 법은 부정한 도청에 사용될 수 있는 장치(도구)를 배포하는 것을 금지하고 있다.

이어 프리왈드는 "사용자 데이터를 보호한다고 주장하는 이 사이트가 도난 당한 비밀번호를 크랙하고, 다른 사람의 정보를 검색할 수 있는 기능을 제공하는 것은 문제가 있다. 데이터 침해를 경고하는 것이 목적이라면 비밀번호를 공개하지 않아야 한다. 이런 점에서 아주 의심스럽다. 앞뒤가 맞지 않는 주장이다"라고 말했다.

로펌인 에델슨(Edelson)의 변호사 크리스토퍼 도어는 이 사이트가 도난 당한 개인 데이터로 수익을 창출하고 있으며, 해커에게 피해자가 이용하는 서비스와 사용자 이름으로 이들을 표적으로 삼을 수 있는 방법을 제공할 수도 있다고 지적했다. 그는 "너무 나갔다. 위험한 방법으로 돈을 벌고 있다. 연방무역위원회(FTC) 등 규제 기관이 이를 주시해 개입할 필요가 있다"라고 말했다.

계속되는 위험
논란이 있는 것은 분명하지만, 인터넷 사용자 모두가 우려할 필요는 없다. 리크드소스에 보관된 데이터베이스 가운데 상당수는 오래됐으며, 더 이상 이용하지 않는 인터넷 계정도 많다. 예를 들어, 링크트인 데이터베이스는 2012년 데이터이다. 링크트인은 이미 도난 당한 비밀번호를 재설정했다. 또 사실상 크랙이 불가능한 해시 비밀번호만 들어있는 데이터베이스도 있다.

그렇지만 도난 당한 데이터가 무용지물이라는 의미는 아니다. IT에 익숙치 않은 사용자가 여러 인터넷 계정에 동일한 비밀번호를 사용하고, 이를 바꾸지 않았다면 큰 위험이 초래될 수 있다.

실제로 개인정보 보호 문제를 걱정하는 인터넷 사용자들은 깜짝 놀란 것 같다. 리크드소스에 대한 보도 이후 많은 사용자가 이 사이트에 자신의 정보를 삭제하라고 요구했다. 리크드소스 측은 "고객 지원 센터에 삭제 요청이 100배 넘게 증가해 다른 중요한 메시지를 확인하지 못할 정도이다"라고 밝혔다. 사용자는 리크드소스의 정보 삭제 페이지에 접속해 자신의 정보를 삭제할 수 있다.

호주에서 데이터 침해 모니터링 서비스를 제공하는 Haveibeenpwned.com의 소프트웨어 아키텍트 트로이 헌트는 "대중에게 데이터 침해를 경고하면서, 지나치게 많은 정보를 게시하는 것은 위험하다"고 말했다. 그가 운영하고 있는 사이트 역시 정기적으로 새 데이터베이스를 수집하고 있지만 리크드소스와 달리 비밀번호를 찾을 수 있는 유료 검색 기능은 제공하지 않는다.

헌트는 이메일 인터뷰에서 "온라인 보안을 강화할 수도 있다. 그러나 (이런 기능을 제공하는 것은) 그만한 위험이 초래될 가능성도 있다"라고 밝혔다. 그는 중요한 사용자 정보가 공개되지 않도록 사이트를 계속 개선하고 있다고 덧붙였다. ciokr@idg.co.kr



2016.09.22

"모니터링" vs. "해킹 지원"··· '리크드소스' 위험성 논란

Michael Kan | IDG News Service
겉으로는 사람들에게 데이터 침해를 경고하며 '착한' 일을 하지만, 실제로는 '악한' 행동을 하는 것으로 보이는 사이트가 있다. 바로 대형 온라인 저장소인 리크드소스(LeakedSource)이다. 여기에는 이메일 주소와 관련 인터넷 계정, 비밀번호 등의 정보가 보관돼 있는데, 실제로는 더 쉽게 해킹을 할 수 있도록 도와주는 것일 수도 있다.


Image Credit: Michael Kan

이 대형 저장소에는 링크트인(LinkedIn), 마이스페이스(MySpace), 드롭박스(Dropbox) 등 다양한 사이트에서 유출된 데이터베이스가 쌓여있다. 이 사이트는 스스로를 '데이터 침해 모니터링' 사이트로 홍보하고 있으며, 최근 몇달 동안 과거 및 현재의 해킹 관련 데이터를 수집해 언론사에 제공하기도 했다.

그러나 이 저장소에는 불법으로 판단되는 기능이 있다. 도난 당한 정보를 검색할 수 있는 기능이 대표적이다. 이로 인해 리크드소스는 초보 해커를 위한 도구로 악용될 수 있다.

해킹을 위한 자원
하루 2달러를 내고 리크드소스를 구독하면, 이메일 주소와 사용자 이름을 입력해 이를 등록에 이용한 인터넷 계정에 대한 정보를 볼 수 있다. 여기에 그치지 않는다. 리크드소스는 가능할 경우 이와 연결된 비밀번호를 '크랙'해 준다. 이 검색 기능은 HackForums.net에서 인기를 끌었다. 한 레딧 사용자는 '스크립트 키디(Script Kiddies, 초보 해커)'들의 온상이라고 말하기도 했다.

이 포럼에는 해킹에 리크드소스를 이용하는 방법에 대한 글이 많이 올라와 있다. 한 사용자는 이에 관한 전자책을 8달러에 판매하고 있다. 또 리크드소스를 이용해 소셜 미디어 계정을 해킹하는 방법, 개인정보를 빼내 온라인에 유출하는 방법을 조언하는 사용자도 있다. 한 사용자는 "엘리트 해커가 돼 거드름을 부리고 싶은가? 리크드소스라는 데이터베이스 검색을 이용해 유튜브 사용자 계정을 해킹하는 방법을 간단히 소개한다"라고 적었다.

리크드소스 측은 사이트의 합법성에 대한 문의에 대해 답변을 거부했다. 이 서비스는 운영자가 누구인지도 알려져 있지 않다. 단지 해킹을 반대한다고 주장하고 있을 뿐이다. 그러나 2015년 10월 HackForums.net에서 자신을 홍보한 흔적이 있다. 이메일로 이에 대해 확인을 요청했지만 역시 답변이 없었다.

대신 리크드소스 측은 자신이 분류해 보관하고 있는 정보가 이미 인터넷에 공개된 정보라고 주장했다. 사이트 관계자는 마이스페이스와 링크트인의 도난 당한 데이터베이스 링크가 포함된 이메일에서 "우리를 비난하기 전에 알아야 할 점이 있다. 누구나 '깨끗한' 웹에서 수십 억 줄의 정보를 다운로드 받을 수 있다는 것이다"라고 말했다.


법적 문제점
또한 사이트 측은 데이터 침해에 책임이 없다고 주장했다. 다크 웹(Dark Web)을 검색해 도난 당한 데이터베이스를 수집하거나, 익명의 해커로부터 정보를 제공받는다고 설명했다. 리크드소스 관계자는 "우리가 하는 일을 좋아하는 해커들이 많다. 일부는 유명세를 원하고, 일부는 자신의 '적'이 데이터를 팔아 이익을 챙기는 것을 원하지 않는다"고 말했다.

그러나 법률 전문가들은 해킹에 직접 관여하지 않았다고 해도 이 사이트의 활동을 범죄로 볼 수도 있다고 지적했다. 샌프란시스코 대학(University of San Francisco)의 법학 교수인 수잔 프리왈드는 도난 당한 비밀번호를 사이트에 게시하는 것은 일종의 '도청(wiretapping)'이라고 말했다. 미국의 전기전자 통신 개인정보 보호 법은 부정한 도청에 사용될 수 있는 장치(도구)를 배포하는 것을 금지하고 있다.

이어 프리왈드는 "사용자 데이터를 보호한다고 주장하는 이 사이트가 도난 당한 비밀번호를 크랙하고, 다른 사람의 정보를 검색할 수 있는 기능을 제공하는 것은 문제가 있다. 데이터 침해를 경고하는 것이 목적이라면 비밀번호를 공개하지 않아야 한다. 이런 점에서 아주 의심스럽다. 앞뒤가 맞지 않는 주장이다"라고 말했다.

로펌인 에델슨(Edelson)의 변호사 크리스토퍼 도어는 이 사이트가 도난 당한 개인 데이터로 수익을 창출하고 있으며, 해커에게 피해자가 이용하는 서비스와 사용자 이름으로 이들을 표적으로 삼을 수 있는 방법을 제공할 수도 있다고 지적했다. 그는 "너무 나갔다. 위험한 방법으로 돈을 벌고 있다. 연방무역위원회(FTC) 등 규제 기관이 이를 주시해 개입할 필요가 있다"라고 말했다.

계속되는 위험
논란이 있는 것은 분명하지만, 인터넷 사용자 모두가 우려할 필요는 없다. 리크드소스에 보관된 데이터베이스 가운데 상당수는 오래됐으며, 더 이상 이용하지 않는 인터넷 계정도 많다. 예를 들어, 링크트인 데이터베이스는 2012년 데이터이다. 링크트인은 이미 도난 당한 비밀번호를 재설정했다. 또 사실상 크랙이 불가능한 해시 비밀번호만 들어있는 데이터베이스도 있다.

그렇지만 도난 당한 데이터가 무용지물이라는 의미는 아니다. IT에 익숙치 않은 사용자가 여러 인터넷 계정에 동일한 비밀번호를 사용하고, 이를 바꾸지 않았다면 큰 위험이 초래될 수 있다.

실제로 개인정보 보호 문제를 걱정하는 인터넷 사용자들은 깜짝 놀란 것 같다. 리크드소스에 대한 보도 이후 많은 사용자가 이 사이트에 자신의 정보를 삭제하라고 요구했다. 리크드소스 측은 "고객 지원 센터에 삭제 요청이 100배 넘게 증가해 다른 중요한 메시지를 확인하지 못할 정도이다"라고 밝혔다. 사용자는 리크드소스의 정보 삭제 페이지에 접속해 자신의 정보를 삭제할 수 있다.

호주에서 데이터 침해 모니터링 서비스를 제공하는 Haveibeenpwned.com의 소프트웨어 아키텍트 트로이 헌트는 "대중에게 데이터 침해를 경고하면서, 지나치게 많은 정보를 게시하는 것은 위험하다"고 말했다. 그가 운영하고 있는 사이트 역시 정기적으로 새 데이터베이스를 수집하고 있지만 리크드소스와 달리 비밀번호를 찾을 수 있는 유료 검색 기능은 제공하지 않는다.

헌트는 이메일 인터뷰에서 "온라인 보안을 강화할 수도 있다. 그러나 (이런 기능을 제공하는 것은) 그만한 위험이 초래될 가능성도 있다"라고 밝혔다. 그는 중요한 사용자 정보가 공개되지 않도록 사이트를 계속 개선하고 있다고 덧붙였다. ciokr@idg.co.kr

X