보안

에퀴팩스 데이터 침해 사건 FAQ, 사건의 전말과 영향

Josh Fruhlinger | CSO 2020.03.10
2017년에 공격자는 개인 신용정보업체 에퀴팩스(Equifax)로부터 수억 건의 고객 기록을 유출했다. 이번 기사에서는 에퀴팩스 보안 침해 사건의 전말과 영향에 대해 알아보자. 
 
ⓒ Getty Images Bank 

2017년 3월, 미국의 거의 모든 사람에 대한 재무 건전성을 평가하는 신용정보업체 가운데 하나인 에퀴팩스(Equifax)가 수억 명의 개인 식별 데이터를 도난당했다. 

이미 알고 있듯이, 이 사건은 수많은 문제와 논란을 불러 일으켰다. 에퀴팩스는 허술한 보안 태세부터 침해 사건에 대한 엉뚱한 대응에 이르기까지 온갖 비난을 받았으며, 최고 경영자들은 비리 혐의로 기소됐다. 그리고 누가 이 사건의 배후에 있었는지에 대한 문제는 세계 정치 지형에 심각한 영향을 미쳤다. 


에퀴팩스 침해 사건은 어떻게 발생됐는가? 

비행기 추락과 마찬가지로 주요 정보보안(Infosec) 사건은 일반적으로 여러 건의 보안 문제로 인해 발생한다. 에퀴팩스 보안 침해 조사는 공격자가 보안 시스템에 침입해 테라바이트의 데이터를 유출할 때까지 여러 가지 보안 문제가 있었다고 지적했다. 

이번 기사에서 논의되는 내용은 2가지 문서를 기반으로 한다. 미국 회계국(General Accounting Office)의 상세 보고서와 조사 내부의 출처를 기반으로 한 블룸버그 비즈니스위크의 심층 분석이다. 에퀴팩스 데이터 유출이 어떻게 발생했는지에 대한 전반적인 내용은 다음과 같다.
 
  • 에퀴팩스는 처음에 소비자 불만 웹 포털을 해킹 당했다. 공격자는 패치되어야 하는 널리 알려진 취약점을 사용했는데, 에퀴팩스의 내부 프로세스는 이를 패치하지 않았다. 
  • 공격자는 에퀴팩스 시스템이 서로 적절하게 분할되어 있지 않아 웹 포털에서 다른 서버로 이동할 수 있었고, 일반 텍스트로 저장된 사용자 이름과 비밀번호를 찾았으며, 그 결과 더 많은 시스템에 액세스할 수 있었다. 
  • 에퀴팩스는 내부 보안 도구 가운데 하나에 대해 암호화 인증서를 갱신하지 않았기 때문에 공격자는 수개월 동안 탐지되지 않은 채, 암호화된 형태의 데이터를 빼낼 수 있었다. 
  • 에퀴팩스는 사고가 발생한 것을 인지한 지 한 달이 넘도록 침해 사실을 공개하지 않았다. 그 시기에 최고 경영진은 자신들의 주식을 팔아넘겨 내부자 거래에 대한 비난을 일으켰다. 

이 사건을 정확히 이해하기 위해서는 각 사건들이 어떻게 전개됐는지 살펴보자. 


에퀴팩스 데이터 침해 사건은 언제 발생했는가? 

사건은 2017년 3월 시작됐다. 이 달, 에퀴팩스가 수천 개의 다른 웹 사이트와 함께 사용하는 엔터프라이즈 JAVA 애플리케이션을 작성하기 위한 오픈소스 개발 프레임워크인 아파치 스트럿츠(Apache Struts)에서 CVE-2017-5638이라는 취약점이 발견됐다. 

공격자가 콘텐츠 유형 헤더에 삽입된 악성코드가 포함된 HTTP 요청을 보낸 경우, 스트럿츠가 해당 코드를 실행하도록 속일 수 있었고, 시스템을 열면 스트럿처는 추가 침입을 위해 실행되고 있었다. 

3월 7일, 아파치 소프트웨어 재단은 이 취약점에 대한 패치를 발표했다. 3월 9일, 에퀴팩스 관리자는 영향을 받는 모든 시스템에 패치를 적용하라는 지시를 받았지만, 이를 실행하는 직원은 해당 지시를 받지 못했다. 

에퀴팩스의 IT 부서는 3월 15일 패치되지 않은 시스템을 식별하기 위해 일련의 검사를 실행했다. 실제로 앞서 언급한 웹 포털을 포함해 여러 개의 취약한 시스템이 있었지만, 검사가 제대로 작동하지 않은 것으로 보였으며, 취약한 시스템 중 어떤 것도 경고가 뜨지 않았고, 패치되지 않았다. 

블룸버그 비즈니스위크에 따르면, 이 시점에서 패치 프로세스가 왜 중단됐는지 분명하지 않지만, 같은 달 에퀴팩스에서 무슨 일이 일어났는지 주목할 필요가 있다. 

범죄자가 에퀴팩스 사이트에 로그인하기 위해 다른 출처로부터 훔친 사회보장번호를 사용한 시점에 에퀴팩스는 자사의 시스템을 평가하기 위해 보안 컨설팅 업체인 맨디언트(Mandiant)를 고용해 시스템을 평가했다. 맨디언트는 패치되지 않고 잘못 구성된 여러 시스템에 대해 경고했고, 그 관계는 몇 주 사이에 험악하게 전개됐다. 

사건조사관들은 최초 에퀴팩스 데이터 침해 날짜가 2017년 3월 10일인 것으로 분석했다. 이는 스트럿츠 취약점을 통해 웹 포털이 처음 침해된 시점이다. 그러나 공격자들은 즉시 작업에 착수하지 않았다. 에퀴팩스가 GAO 보고서에서 별도의 사건이라고 언급한 2017년 5월 13일까지 공격자들은 해킹한 서버에서 네트워크의 다른 부분으로 이동해 데이터를 본격적으로 유출하기 시작했다(공격자가 누구였는지에 대한 질문은 중요한 것이므로 후술하겠다). 

2017년 5월부터 7월까지 공격자는 수억 명의 사람들에 대한 정보가 포함된 여러 에퀴팩스 데이터베이스에 액세스할 수 있었다. 앞서 언급했듯이, 많은 나쁜 데이터 거버넌스 관행이 공격자들이 에퀴팩스의 시스템을 넘나들게 만들었다. 하지만 공격자는 어떻게 눈에 띄지 않고 그 모든 데이터를 제거할 수 있었을까?
  
여기서 또 다른 에퀴팩스의 약점을 파악할 수 있었다. 많은 사이버 도둑처럼, 에퀴팩스 공격자는 관리자들이 파악하기 어렵게 하기 위해 이동중인 데이터를 암호화했다. 많은 대기업과 마찬가지로 에퀴팩스에는 내부 네트워크 트래픽을 해독하고 분석, 재암호화하는 도구를 갖고 있었다. 특히 이와 같은 데이터 유출 이벤트를 탐지해낸다. 

그러나 해당 트래픽을 재 암호화하려면 이런 도구에 공개 키 인증서가 필요한데, 이 인증서는 서드파티에서 구입해 매년 갱신해야 한다. 에퀴팩스는 거의 10개월 전에 인증서 가운데 하나를 갱신하지 못했다. 이는 암호화된 트래픽이 검사되지 않았음을 의미한다. 

만료된 인증서는 2019년 7월 29일까지 발견되지 않아, 갱신하지 못했으며, 이를 발견한 시점에서 에퀴팩스 관리자는 거의 즉시 이전에 의심스러운 모든 활동을 알아차리기 시작했다. 이 시점이 에퀴팩스가 침해 사실을 처음 인지한 날이었다. 

에퀴팩스가 2017년 9월 8일, 이 사건을 공개하기 전까지 한 달 동안 내부 조사가 있었다. 8월 초, 많은 에퀴팩스 경영진은 정보가 공개되면 불가피하게 주가가 떨어진다는 것을 파악하고 회사 주식을 매각한 의혹을 받고 있다. 한 하급 간부가 내부자 거래 혐의로 기소됐지만, 그들은 무죄였다. 


어떤 데이터가 해킹 당했고, 영향을 받은 사람이 몇 명인가? 

에퀴팩스는 특히 개인 데이터를 거래하기 때문에 공격자가 해킹한 정보는 상당히 심층적이며 수많은 사람을 대상으로 한다. 미국인 1억 4,400만 명의 이름, 주소, 생년월일, 사회보장번호, 운전면허번호 등이 노출된 것으로, 미국 인구의 40% 이상이 영향을 받았다. 부분적으로 약 20만 건의 신용카드 번호도 포함되어 있었다. 이 그룹은 아마도 그들 자신의 신용 보고서를 보기 위해 직접 에퀴팩스에 비용을 지불한 사람들로 구성되어 있었을 것이다. 

마지막 요인은 다소 아이러니하다. 왜냐하면 자신의 신용 점수에 대해 걱정하는 사람들이 가장 많은 개인정보를 도난 당했고, 이는 그들의 신용 점수에 손상을 줄 수 있는 사기로 이어질 수 있기 때문이다. 그러나 이 사건 이후, 불가피해 보이는 신분 도용과 사기의 행렬에 대해서는 재미있는 일이 발생했다. 그리고 이는 공격자의 신원과 관련이 있다. 


에퀴팩스 데이터 침해 사건에 대한 책임은? 

에퀴팩스 데이터 침해 사건이 발표되자마자 정보보안 전문가들은 다크 웹(dark web) 사이트를 감시하기 시작했고, 이와 연결될지도 모르는 엄청난 양의 데이터를 기다리고 있었다. 하지만 유출 데이터는 나타나지 않았다. 이로 인해 에퀴팩스는 데이터 절도가 아닌 스파이 목적의 중국 정부 지원 해커들에 의해 해킹 당했다는 주장이 생겨났다. 

블룸버그 비즈니스위크의 분석은 이런 노선을 따르고 있으며, 도난당한 데이터가 유출된 적이 없다는 사실을 넘어 여러 가지 추가적인 단서들을 지적했다. 예를 들어, 3월 10일 최초 침해 이후 공격자는 2개월 이상 아무런 활동을 하지 않다가 갑자기 에퀴팩스 네트워크 내에 고부가가치 대상으로 이동하기 시작했다는 점을 상기시켰다. 

조사관들은 첫 번째 침입은 스트럿츠 취약점이 공개되고 패치된 시점에서 불과 며칠밖에 되지 않았고 이 취약점을 이용하기 위해 업데이트된 쉽게 구할 수 있는 해킹 키트를 사용한 것으로 보아 비교적 경험이 부족한 해커의 소행으로 파악했다. 

이들은 스캐팅 도구를 사용해 패치되지 않은 에퀴팩스 서버를 발견했으며, 그들이 침입한 회사가 얼마나 잠재적으로 가치가 있는지 알지 못했을 수도 있다. 결국 초기에 침입 성공 이상의 성과를 거두지 못한 그들은 중국 정부의 지원을 받는 해커, 즉 다양한 기술을 사용해 기밀 데이터에 액세스하는 숙련된 공격자에게 그 발판을 팔았다. 

그리고 중국 정부가 에퀴팩스 데이터에 관심을 갖는 이유는 무엇일까? 조사관들은 이 공격을 다크웹에서 개인 식별 데이터를 발견하지 못한 2가지 다른 대형 침해 사고, 즉 2015년 미국 인사관리처의 해킹과 2018년 메리어트의 스타우드 호텔 브랜드 해킹 사건과 동일시하고 있다. 

이 사건들은 모두 수백만 명의 미국인에 대한 거대한 데이터 호수를 구축하기 위한 작전의 일환으로, 미국 정부 관리 및 정보 요원을 파악하기 위해 빅데이터 기법을 사용할 것이다. 특히 재정 문제가 있는 미국 관리나 스파이의 증거는 중국 정보 기관이 뇌물이나 협박 시도의 잠재적 대상을 파악하는데 도움이 될 수 있다. 

2020년 2월, 미 법무부는 공식적으로 이번 공격에 대해 중국군인 4명을 기소했다. 이는 극히 드문 조치로서, 미국은 미국 정보가 이번 공격을 얼마나 심각하게 받아들였는지를 보여주는 것이다. 사실 그간 미국 첩보원에 대한 보복을 피하기 위해 미국은 외국 정보기관에 대한 형사 고발은 거의 하지 않았다. 


에퀴팩스는 이 침해 사건을 어떻게 처리했는가? 

어쨌든 일단 침해 사실이 발표되면, 에퀴팩스의 즉각적인 대응 방안은 아무런 호응을 얻지 못했다. 이 가운데 우연히 영향을 받은 사람들을 위한 별도의 전용 도메인인 equifaxsecurity2017.com을 설치하기도 했다. 

이런 유형의 도메인은 종종 피싱 사기에 사용되기 때문에 고객들에게 도메인을 신뢰하도록 요청하는 것은 정보보안 절차에서 엄청난 패착이었다. 더 나쁜 것은 에퀴팩스 소셜 미디어 계정이 여러 번 사람들을 대신해 securityequifax2017.com으로 잘못 안내한 것이었다. 다행스럽게도 해당 URL을 알아낸 사람들이 20만 명의 방문자를 올바른 사이트로 안내했다. 

한편, 실제 equifaxsecurity2017.com 침해 사이트는 수많은 관찰자에 의해 안전하지 않은 것으로 판단됐으며, 실제로 침해 여부와 관계없이 모든 사람이 이 침해 사건에 영향을 받았다고 말하고 있었을 지도 모른다. 해당 사이트의 언어(에퀴팩스에 의해 철회됨)는 영향을 받았는지 확인하는 것만으로 고소할 권리를 포기하는 것을 의미한다고 암시했다. 그리고 결국 영향을 받았다면, 에퀴팩스 ID 보호 서비스에 무료로 등록하라는 지시를 받지만, 그 시점에서 사람들은 에퀴팩스를 얼마나 신뢰하고 있을까? 


데이터 유출 사건 후, 에퀴팩스는 어떻게 됐나? 

궁극적으로 에퀴팩스 침해 사건의 영향은 무엇인가? 에퀴팩스 경영진들은 빠르게 교체됐다. 엘리자베스 워렌과 다른 상원의원들이 상정한 이 신용업체에 벌금을 부과하는 법률은 상원에서 무산됐다. 

그렇다고 에퀴팩스가 이 침해 사건으로 인해 비용을 들지 않았다는 것은 아니다. 에퀴팩스는 2년 동안 IT 인프라를 혁신하고 애플리케이션, 네트워크 및 데이터 보안을 개선하기 위한 비용을 포함해 14억 달러를 지출했다고 밝혔다. 2019년 6월, 무디스는 향후 몇 년 동안 정보보안에 소비해야 하는 막대한 금액으로 인해 에퀴팩스의 재무 등급을 부분적으로 하향 조정했다. 2019년 7월, 에퀴팩스는 FTC와의 기록적인 합의를 이뤄냈는데, FTC는 현재 진행중인 집단 소송을 종결했으며, 에퀴팩스는 소비자 청구를 해결하기 위해 최소한 13억 8,000만 달러를 지출해야 한다. 


에퀴팩스 침해 사건으로 직업 영향을 받은 이는? 

사건 초반에는 자신이 데이터를 도난당한 40%의 불행한 미국인인지 알아내는 데에는 많은 어려움이 있었다. 이후 문제가 해결됐으며, 이제는 영향을 받았는지 확인할 수 있는 새로운 사이트가 운영되고 있다.

이 웹 사이트는 실제 에퀴팩스에 의해 운영되는 것이 아니라 FTC에서 맡고 있다. 

에퀴팩스 합의는 침해당한 사람들에게 돌아갈 금액은 적을지 모르지만 소정의 금액이 있다. 이 합의에 따라 에퀴팩스는 신용 모니터링 서비스를 통해 침해에 영향을 받는 모든 사람에게 보상하도록 규정하고 있다. 에퀴팩스는 자사의 서비스에 가입하길 원하지만, 피해자가 다른 곳에서 해당 서비스를 구입하려고 한다면 125달러의 수표를 결제해야 한다. 하지만 해당 피해자가 다른 곳에서 대체 서비스를 받고 있다는 걸 보여줘야 한다.
 
신원 도용으로 실제 돈을 잃어버리거나 그 여파를 처리하는데 상당한 시간을 소비한 경우, 더 많은 현금이 들겠지만, 여기에서도 문서화가 필요하다. 그리고 이 125달러는 최대치일 뿐이다. 너무 많은 사람이 수표를 요청하면 그 금액은 확실히 내려갈 것이다. 


에퀴팩스 침해 사고로부터 얻은 교훈은? 

이번 에퀴팩스 침해 사건에서 어떤 교훈을 얻을 수 있을까? 교훈이 될만한 것은 매우 많다.
 
  • 기본을 바로 잡아라: 무적의 네트워크란 있을 수 없다. 그러나 에퀴팩스는 이런 패치가 신속하게 적용되도록 하는 프로세스를 시행하고 있었음에도 불구하고 기본적인 취약점을 패치하지 못했기 때문에 침해당한 것이다. 그리고 누군가가 보안 인증서 갱신을 소홀히 했기 때문에 엄청난 양의 데이터가 눈에 띄지 않게 유출됐다. 에퀴팩스는 보안 장비에 수백만 달러를 지불했지만, 제대로 구현하지도, 관리하지도 못했다. 
  • 사일로는 방어할 수 있다: 일단 공격자가 경계 내부에 들어오면, 컴퓨터에서 데이터베이스로, 데이터베이스에서 다른 데이터베이스로 이동할 수 있다. 만약 그들이 하나의 기계로 제한했다면 그 피해는 훨씬 줄어들었을 것이다. 
  • 특히 데이터가 비즈니스인 경우, 데이터 거버넌스가 핵심이다: 에퀴팩스의 데이터베이스는 더 민감할 수 있었다. 예를 들어, 사용자는 “알아야 할 기준”에 근거해 데이터베이스에 대한 액세스를 부여받아야 한다. 신뢰할 수 있는 사용자에게 일반적인 액세스 권한을 부여한다는 것은 공격자가 해당 사용자 계정의 제어권을 장악하고 이를 악용할 수 있다는 걸 의미한다. 그리고 시스템들은 이상한 행동을 감시해야 한다. 공격자는 최대 9,000개의 데이터베이스 쿼리를 매우 빠르게 실행했으며, 이는 분명 빨간 경고였어야 했다.


숫자로 정리한 에퀴팩스 침해 사건 

  • 76일: 공격자가 발견되지 않고 에퀴팩스 네트워크 내에서 활동한 시간 
  • 1억 4,600만: 데이터 유출로 인해 잠재적으로 영향을 받은 시민의 수 
  • 125달러: 에퀴팩스 시스템에서 데이터가 유출된 경우, 보상을 기대할 수 있는 최대 금액 
  • 14억 달러: 에퀴팩스의 이 금액은 사건 발생 후 보안을 업그레이드하는데 지출했다. 
  • 0: 이 사건으로 추적할 수 있는 사기 또는 신원 도용 사건의 수 editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.