2016.09.28

정부-지원 해킹이라고?··· 야후 해명을 바라보는 '미심쩍은 시선'

Michael Kan | IDG News Service
야후는 자사의 막대한 데이터 유출에 대해 “정부 차원의 후원을 받는 해커”(state-sponsored actor)가 저질렀다고 표현했다. 하지만 야후는 왜 그 결론에 도달했는지에 대해 말하지 않았고, 어떠한 증거도 제시하지 않았다.

이로 인해 보안 전문가들은 야후가 5억 유저들의 계정 정보를 훔친 해킹에 대한 세부내역을 왜 제공하지 않는지 궁금해하고 있다. 시큐로닉스(Securonix)의 최고 보안 전략가 마이클 리핀스키는 “여기서 상당히 수상한 냄새가 난다”라고 말했다.

-> 야후, '5억명' 계정 정보 유출··· '역대 최대 규모 사건' 불명예
-> 야후 유출 사건에 대해 알아야 할 것과 해야 할 것

야후는 이번 사건과 관련해 코멘트 요청에 응답해오지 않았다. 그러나 참고할 만한 과거의 발언이 있다. 2015년 12월 블로그 포스트에서 이 기업은 사용자 계정에 대한 정부-지원 해킹을 감지할 수 있는 프로토콜을 가지고 있으며, 그런 상황이 발생할 경우 유저들에게 경고할 것이라고 밝힌 바 있다.

야후의 최고 정보 보안 책임자 밥 로드는 당시 “해커들이 우리의 감지 방법을 파악하지 못하도록 하기 위해 우리는 이런 공격들에 대해 공개적으로 세부내역을 공유하지 않는다’라고 기술했다. 그는 또 야후가 이런 알림을 오직 “높은 수준의 확신이 있을 때”만 발송한다고 덧붙였다.

하지만 대규모 유출을 정부-지원 해커의 탓으로 돌리는 것은 비난을 줄이기 위한 편리한 변명이 될 수도 있다.

보안 벤더 A10 네트워크의 사이버 운영 디렉터 체이스 커닝햄은 “만약 내가 잘못을 덮고 그럴듯한 진술 거부권을 가지고 있는 것처럼 보이게 하고 싶다면 ‘정부-지원 해커’를 바로 언급할 것”이라고 말했다. 그는 정부-지원 해커들은 세계 최고 수준들이며 막기 어렵다는 인식이 만연해 있기 때문이라고 덧붙였다.

커닝햄은 정부-지원을 받는 엘리트 해커 그룹이 아니라 사이버 범죄자들이 야후를 표적으로 삼았을 가능성을 의심하고 있다. 그는 “국가의 해킹 활동으로 추정할 정황이 없다. 국가는 지적 재산권에 관심을 두지 야후 계정의 이메일과 암호에는 그다지 관심이 없다”라고 말했다.

유출에 대한 세부내역을 공개하지 않는 이유는 버라이즌이 야후를 48억 달러에 인수하기로 한 결정과 관련 있을 수 있다는 분석도 있다. 시큐리닉스의 리핀스키는 “버라이즌 인수가 계속 완료될지 확실치 않다”라며, 버라이즌으로서는 유출의 결과 처리를 위해 거액의 자금이 더 들어갈 수도 있다고 지적했다.

그는 이어 “정부-지원 해커들을 비난하면 야후 측에 구체적인 도움이 될 수 있다. 야후가 ‘우리 잘못이 아니고, 우리 보험사에서 처리해줄 것’이라고 말할 수 있는 것이다”라고 말했다.

그러나 정부-지원 해커가 데이터 유출에 관여했을 가능성이 상당하다고 의견도 일각에서는 있다. 정부가 예를 들면 인권 운동가들의 이메일 계정 탈취에 관심이 있을 수 있다. 아니면 유출이 회사 내부의 스파이로부터 시작되었을 수도 있다.

야후가 데이터를 내놓지 않는 데는 다른 이유가 있을 수 있다고 보안 업체 플래시포인트(Flashpoint)의 사이버범죄 분석가 비탈리 크레메즈는 덧붙였다. 그는 “법 집행 기관의 조사에 대비해 야후가 법적 조치를 준비하고 있을 수 있다”라고 말했다.

야후는 최근에서야 데이터 유출에 대해 파악했다고 말했다. 하지만 해킹은 실제로 2014년 말에 발생했다. 침투자들이 데이터를 비밀리에 2년간이나 빼낼 수 있었음을 의미한다.

만약 정부-지원 해커가 실제로 야후를 공격했던 것이라면 크레메즈는 다른 회사들도 이미 피해를 입었지만 아직도 모르고 있을 가능성이 있다고 우려했다. 그는 “우리는 더 많은 투명성을 꼭 필요로 한다. 이게 더 큰 사건의 일부인지 알아야 한다”라고 말했다. ciokr@idg.co.kr 



2016.09.28

정부-지원 해킹이라고?··· 야후 해명을 바라보는 '미심쩍은 시선'

Michael Kan | IDG News Service
야후는 자사의 막대한 데이터 유출에 대해 “정부 차원의 후원을 받는 해커”(state-sponsored actor)가 저질렀다고 표현했다. 하지만 야후는 왜 그 결론에 도달했는지에 대해 말하지 않았고, 어떠한 증거도 제시하지 않았다.

이로 인해 보안 전문가들은 야후가 5억 유저들의 계정 정보를 훔친 해킹에 대한 세부내역을 왜 제공하지 않는지 궁금해하고 있다. 시큐로닉스(Securonix)의 최고 보안 전략가 마이클 리핀스키는 “여기서 상당히 수상한 냄새가 난다”라고 말했다.

-> 야후, '5억명' 계정 정보 유출··· '역대 최대 규모 사건' 불명예
-> 야후 유출 사건에 대해 알아야 할 것과 해야 할 것

야후는 이번 사건과 관련해 코멘트 요청에 응답해오지 않았다. 그러나 참고할 만한 과거의 발언이 있다. 2015년 12월 블로그 포스트에서 이 기업은 사용자 계정에 대한 정부-지원 해킹을 감지할 수 있는 프로토콜을 가지고 있으며, 그런 상황이 발생할 경우 유저들에게 경고할 것이라고 밝힌 바 있다.

야후의 최고 정보 보안 책임자 밥 로드는 당시 “해커들이 우리의 감지 방법을 파악하지 못하도록 하기 위해 우리는 이런 공격들에 대해 공개적으로 세부내역을 공유하지 않는다’라고 기술했다. 그는 또 야후가 이런 알림을 오직 “높은 수준의 확신이 있을 때”만 발송한다고 덧붙였다.

하지만 대규모 유출을 정부-지원 해커의 탓으로 돌리는 것은 비난을 줄이기 위한 편리한 변명이 될 수도 있다.

보안 벤더 A10 네트워크의 사이버 운영 디렉터 체이스 커닝햄은 “만약 내가 잘못을 덮고 그럴듯한 진술 거부권을 가지고 있는 것처럼 보이게 하고 싶다면 ‘정부-지원 해커’를 바로 언급할 것”이라고 말했다. 그는 정부-지원 해커들은 세계 최고 수준들이며 막기 어렵다는 인식이 만연해 있기 때문이라고 덧붙였다.

커닝햄은 정부-지원을 받는 엘리트 해커 그룹이 아니라 사이버 범죄자들이 야후를 표적으로 삼았을 가능성을 의심하고 있다. 그는 “국가의 해킹 활동으로 추정할 정황이 없다. 국가는 지적 재산권에 관심을 두지 야후 계정의 이메일과 암호에는 그다지 관심이 없다”라고 말했다.

유출에 대한 세부내역을 공개하지 않는 이유는 버라이즌이 야후를 48억 달러에 인수하기로 한 결정과 관련 있을 수 있다는 분석도 있다. 시큐리닉스의 리핀스키는 “버라이즌 인수가 계속 완료될지 확실치 않다”라며, 버라이즌으로서는 유출의 결과 처리를 위해 거액의 자금이 더 들어갈 수도 있다고 지적했다.

그는 이어 “정부-지원 해커들을 비난하면 야후 측에 구체적인 도움이 될 수 있다. 야후가 ‘우리 잘못이 아니고, 우리 보험사에서 처리해줄 것’이라고 말할 수 있는 것이다”라고 말했다.

그러나 정부-지원 해커가 데이터 유출에 관여했을 가능성이 상당하다고 의견도 일각에서는 있다. 정부가 예를 들면 인권 운동가들의 이메일 계정 탈취에 관심이 있을 수 있다. 아니면 유출이 회사 내부의 스파이로부터 시작되었을 수도 있다.

야후가 데이터를 내놓지 않는 데는 다른 이유가 있을 수 있다고 보안 업체 플래시포인트(Flashpoint)의 사이버범죄 분석가 비탈리 크레메즈는 덧붙였다. 그는 “법 집행 기관의 조사에 대비해 야후가 법적 조치를 준비하고 있을 수 있다”라고 말했다.

야후는 최근에서야 데이터 유출에 대해 파악했다고 말했다. 하지만 해킹은 실제로 2014년 말에 발생했다. 침투자들이 데이터를 비밀리에 2년간이나 빼낼 수 있었음을 의미한다.

만약 정부-지원 해커가 실제로 야후를 공격했던 것이라면 크레메즈는 다른 회사들도 이미 피해를 입었지만 아직도 모르고 있을 가능성이 있다고 우려했다. 그는 “우리는 더 많은 투명성을 꼭 필요로 한다. 이게 더 큰 사건의 일부인지 알아야 한다”라고 말했다. ciokr@idg.co.kr 

X