2016.12.23

2016년 10대 해킹, 침해, 보안 사건사고

Ian Paul | PCWorld
컴퓨터 보안 업계에 2016년은 길고 우울하고 각종 침해 사건으로 얼룩진 한 해였다. 야후는 역사상 최대 규모의 해킹 피해(두 배)라는 기록을 세웠다. 수백만 대의 좀비화된 웹캠과 DVR이 미국 인터넷을 다운시켰다. 러시아는 "선거 해킹" 의혹에 휩싸였고 새로운 형태의 맬웨어가 등장해 순진한 사용자에게서 비트코인을 갈취했다.

야후를 초토화시킨 해커
지난 9월, 야후는 최소 5억 개의 사용자 계정이 유출되었다는 소식을 전하며 세계를 충격에 빠트렸다. 그것만 해도 주요 기술 기업에서 발생한 개인 데이터 도난 사건으로는 역사상 최대 규모였다. 그런데 얼마 후 설상가상으로 야후는 해킹 자체는 2014년에 발생했으며 그것을 2016년에야 인지한 것이라고 밝혔다. 결국 공격자들은 몇 년 동안 사용자 정보에 마음대로 접근했던 것이다.

그러나 이 정도는 맛보기에 불과했다. 12월 중순 야후는 2013년 8월을 전후해 다른 해킹
사건도 발생했으며 이로 인해 사용자 10억 명의 데이터가 유출되었다는 기절초풍할 소식을 전했다. 9월에 발생한 해킹 규모 기록의 두 배에 이르는 수치다. 방문하는 모든 사이트, 사용하는 모든 서비스마다 강력하고 고유한 암호를 사용하는 이유가 바로 여기에 있다.

만연하는 랜섬웨어
2016년을 정의하는 단 한가지 위협을 꼽으라면 단연 랜섬웨어다. 이 악질적인 악성코드는
파일을 암호환 다음 이를 인질로 잡고 암호를 풀어주는 대가로 돈(반 익명의 비트코인)을 요구한다. 2016년에는 로키(Locky), DMA 로커(DMA Locker), 서프라이즈(Surprise) 등 실로 많은 랜섬웨어 변종들이 뉴스 기사를 장식했다. 또한 투박하지만 효과적인, 랜스캠(Ranscam)이라는 버전은 돈을 받고서도 파일을 삭제하는 것으로 악명을 떨쳤다. 모바일 랜섬웨어까지 등장했으며 7월에는 오프라인에서도 작동할 수 있는 로키 버전도 발견됐다. 랜섬웨어가 얼마나 기승인지는 맬웨어바이트(Malwarebytes)의 8월 연구를 보면 알 수 있다. 미국 기업의 거의 절반 가까이가 랜섬웨어의 공격을 받았다고 한다.

딘(Dyn) DDoS
10월, 한 봇넷이 주요 도메인 네임 시스템(DNS) 제공업체인 딘을 대상으로 대대적인 분산 서비스 거부(DDoS) 공격을 개시했다. DNS는 웹 라우팅 시스템으로, google.com과 같은 웹사이트 이름을 172.217.21.110과 같은 컴퓨터가 읽을 수 있는 숫자로 된 인터넷 프로토콜 주소로 변환해주는 역할을 한다. DNS가 없으면 웹 브라우저는 사용자가 보고자 하는 웹사이트를 찾을 수 없다. 이 DDoS 공격 중 수백만 명의 미국 인터넷 사용자들이 바로 그 상황을 실제로 겪었다. 트위터, 깃허브(GitHu), 넷플릭스(Netflix)와 같은 주요 사이트로의 접근이 하루 종일 마비됐다.

며칠 후 DNS 대란을 일으킨 봇넷이 미라이(Mirai) 맬웨어에 감염된 약 10만 개의 가정용 기기들(웹캠이나 DVR 등)이었다는 사실이 드러났다. 그렇다. 단순하고 불안정한 기기들의 군단이 웹을 습격한 것이다.

애플, 퀵타임 패치 중단
한때 퀵타임은 PC에서 가장 보편적으로 사용되는 소프트웨어 중 하나였다. 특히 아이튠즈에서 초창기 비디오를 보기 위한 필수품이었다. 그러나 시간이 지날수록 퀵타임의 중요성은 점점 낮아졌고 결국 전혀 필요 없는 상황에 이르렀다. 올해 초 퀵타임에서 두 개의 치명적인 취약점이 발견된 이후 애플은 문제를 수정하기보다는 윈도우용 퀵타임을 버리기로 결심한 듯한 모습이다.

윈도우 시스템에서 아직도 퀵타임을 사용하고 있다면 지금 당장 제거하라.

분산 추측
신용카드의 보안 수단은 생각만큼 안전하지 않다. 영국 뉴캐슬 대학 연구원들은 신용카드의 만료 날짜와 신용카드 확인 번호(CVV)를 비교적 쉽게 알아낼 수 있음을 입증해 보였다. 연구원들은 "분산 추측(distributed guessing)"이라는 기법을 사용해서 낮은 자릿수의 번호를 추정하는 참신한 방법을 생각해냈다.

기본적인 원리는 간단하다. 노트북 하나로 조금씩 다른 카드 만료 날짜와 CVV 정보를 사용해서 다양한 결제 사이트에서 동시에 수백 개의 추측을 실행한다. 연구진은 약 6초 내에 정확한 번호를 알아내서 신용 카드의 보안 코드를 풀 수 있다고 말했다. 이 약점은 결제 정보 입력 시도 횟수에 대한 제한이 없는데다 신용 카드 시스템이 부정확한 신용 카드 정보의 동시 입력을 적극적으로 모니터링하지 않는다는 데 기인한다.

DNC 해킹
2016년에는 해킹이 기업과 정부 기관을 못살게 구는 정도를 벗어나 미국 대통령 선거에까지 직접 개입했다. 첫 번째 사건은 미국 민주당 전국 위원회의 컴퓨터 네트워크가 침해된 것이다. 위키리크스는 지난7월 DNC 직원들이 사용한 약 20,000통의 이메일과 수천 개의 첨부 파일이 포함된 문건을 공개했다.

그 이후 여러 가지 스캔들이 터졌다. 여기에는 DNC가 민주당 후보로 앞서가던 힐러리 클린턴을 지지하기 위해 버니 샌더스의 선거 캠페인에 대해 적극적으로 방해 공작을 펼쳤음을 시사하는 내용도 포함됐다. 이 폭로 이후 DNC 회장 데비 워서먼 슐츠가 사임했다. 구시퍼 2.0(Guccifer 2.0)이라는 해커가 DNC 데이터 유출이 자신의 소행이라고 주장했지만 미국 수사 당국은 러시아와 연루된 세력의 해킹으로 판단했다.

러시아의 치졸한 행위
미국 수사 당국은 지난 9월 러시아가 미국 대통령 선거 방해를 시도했을 가능성을 조사했다. 2016년 연말을 맞은 현재 중앙 정보부(CIA)와 기타 미국 수사 기관들은 러시아가 선거에 은밀히 영향을 미치려 시도했음을 "강하게 확신"한다는 결론을 내렸다. 우려를 일으킨 점은 투표 기기에 대한 해킹이 아니라, 러시아 해커가 미국 양대 정당의 컴퓨터 시스템에 모두 침투했다는 점, 그리고 러시아 대통령 블라디미르 푸틴이 직접 연루되었을 가능성이 있다는 점이었다.

로이터에 따르면 12월 중순 현재 미국국가정보국(ODNI, 미국 정보 조직의 최고 기관)은 러시아 개입설을 지지하지 않고 있다.

샌 버너디노의 아이폰
2015년 12월 두 명의 이슬람 극단주의자가 캘리포니아 주 샌 버너디노에서 테러 공격을 감행, 14명이 사망하고 22명이 중상을 입는 사고가 발생했다. 범인은 이후 경찰과의 총격전 과정에서 사망했다.

2016년 이 테러리스트 중 한 명이 사용했던 아이폰이 쟁점으로 떠올랐다. 이 아이폰은 애플의 내장 보안 도구를 사용해 무단 접근을 차단한 상태였는데 FBI는 이 전화기 내용을 들여다볼 수 있도록 애플에 특수한 소프트웨어를 만들어줄 것을 요구했다. 애플은 이러한 FBI의 요구가 사실상 애플 자체의 보안 기능을 무력화하는 "맞춤형 맬웨어"를 만들라는 뜻이라며 거절했다.

이후 FBI는 한 보안 업체의 도움을 받아 전화기의 데이터를 입수하게 되면서 애플에 대한 요구도 철회했다. 입법 기관들은 이 사례 이후 암호화 기능이 적용된 상품을 판매하는 회사가 수사 당국에 어떻게 도움을 제공해야 하는지에 대해 고민하기 시작했다.

NSA 해킹
지난 8월 섀도우 브로커(Shadow Brokers)라는 해커 조직이 미국 국가 안전국(NSA)과 연결된 사이버 첩보 팀인 이퀘이전 그룹(Equation Group)의 해킹 도구를 입수했다고 발표했다. 섀도우 브로커는 침투 과정에서 NSA에서 사용하는 것으로 알려진 정교한 익스플로잇 도구를 입수했는데, 이 도구는 기기의 펌웨어를 감염시킬 뿐만 아니라 감염된 시스템의 운영 체제가 완전히 새로 설치된 이후에도 계속 남는다. 섀도우 브로커는 손에 넣은 이 귀중한 도구를 일부 노출시킨 후 자신들이 입수한 다른 해킹 도구를 판매하려고 시도했지만 10월 초를 기준으로 판매 실적은 거의 없었다.

스위프트 해킹
시작은 방글라데시 은행을 대상으로 스위프트(SWIFT: 국제은행간전기통신협회) 트랜잭션 소프트웨어를 노린 8,100만 달러 규모의 맬웨어 공격이었다. 그러나 5월 하순까지 전세계 십여 개의 은행이 스위프트 시스템에 대한 해킹 여부를 조사하기 시작했다. 7월이 되자 스위프트는 계속 확산되는 해킹을 제압하기 위해 외부 보안 전문가에게 도움을 요청했다. editor@itworld.co.kr

2016.12.23

2016년 10대 해킹, 침해, 보안 사건사고

Ian Paul | PCWorld
컴퓨터 보안 업계에 2016년은 길고 우울하고 각종 침해 사건으로 얼룩진 한 해였다. 야후는 역사상 최대 규모의 해킹 피해(두 배)라는 기록을 세웠다. 수백만 대의 좀비화된 웹캠과 DVR이 미국 인터넷을 다운시켰다. 러시아는 "선거 해킹" 의혹에 휩싸였고 새로운 형태의 맬웨어가 등장해 순진한 사용자에게서 비트코인을 갈취했다.

야후를 초토화시킨 해커
지난 9월, 야후는 최소 5억 개의 사용자 계정이 유출되었다는 소식을 전하며 세계를 충격에 빠트렸다. 그것만 해도 주요 기술 기업에서 발생한 개인 데이터 도난 사건으로는 역사상 최대 규모였다. 그런데 얼마 후 설상가상으로 야후는 해킹 자체는 2014년에 발생했으며 그것을 2016년에야 인지한 것이라고 밝혔다. 결국 공격자들은 몇 년 동안 사용자 정보에 마음대로 접근했던 것이다.

그러나 이 정도는 맛보기에 불과했다. 12월 중순 야후는 2013년 8월을 전후해 다른 해킹
사건도 발생했으며 이로 인해 사용자 10억 명의 데이터가 유출되었다는 기절초풍할 소식을 전했다. 9월에 발생한 해킹 규모 기록의 두 배에 이르는 수치다. 방문하는 모든 사이트, 사용하는 모든 서비스마다 강력하고 고유한 암호를 사용하는 이유가 바로 여기에 있다.

만연하는 랜섬웨어
2016년을 정의하는 단 한가지 위협을 꼽으라면 단연 랜섬웨어다. 이 악질적인 악성코드는
파일을 암호환 다음 이를 인질로 잡고 암호를 풀어주는 대가로 돈(반 익명의 비트코인)을 요구한다. 2016년에는 로키(Locky), DMA 로커(DMA Locker), 서프라이즈(Surprise) 등 실로 많은 랜섬웨어 변종들이 뉴스 기사를 장식했다. 또한 투박하지만 효과적인, 랜스캠(Ranscam)이라는 버전은 돈을 받고서도 파일을 삭제하는 것으로 악명을 떨쳤다. 모바일 랜섬웨어까지 등장했으며 7월에는 오프라인에서도 작동할 수 있는 로키 버전도 발견됐다. 랜섬웨어가 얼마나 기승인지는 맬웨어바이트(Malwarebytes)의 8월 연구를 보면 알 수 있다. 미국 기업의 거의 절반 가까이가 랜섬웨어의 공격을 받았다고 한다.

딘(Dyn) DDoS
10월, 한 봇넷이 주요 도메인 네임 시스템(DNS) 제공업체인 딘을 대상으로 대대적인 분산 서비스 거부(DDoS) 공격을 개시했다. DNS는 웹 라우팅 시스템으로, google.com과 같은 웹사이트 이름을 172.217.21.110과 같은 컴퓨터가 읽을 수 있는 숫자로 된 인터넷 프로토콜 주소로 변환해주는 역할을 한다. DNS가 없으면 웹 브라우저는 사용자가 보고자 하는 웹사이트를 찾을 수 없다. 이 DDoS 공격 중 수백만 명의 미국 인터넷 사용자들이 바로 그 상황을 실제로 겪었다. 트위터, 깃허브(GitHu), 넷플릭스(Netflix)와 같은 주요 사이트로의 접근이 하루 종일 마비됐다.

며칠 후 DNS 대란을 일으킨 봇넷이 미라이(Mirai) 맬웨어에 감염된 약 10만 개의 가정용 기기들(웹캠이나 DVR 등)이었다는 사실이 드러났다. 그렇다. 단순하고 불안정한 기기들의 군단이 웹을 습격한 것이다.

애플, 퀵타임 패치 중단
한때 퀵타임은 PC에서 가장 보편적으로 사용되는 소프트웨어 중 하나였다. 특히 아이튠즈에서 초창기 비디오를 보기 위한 필수품이었다. 그러나 시간이 지날수록 퀵타임의 중요성은 점점 낮아졌고 결국 전혀 필요 없는 상황에 이르렀다. 올해 초 퀵타임에서 두 개의 치명적인 취약점이 발견된 이후 애플은 문제를 수정하기보다는 윈도우용 퀵타임을 버리기로 결심한 듯한 모습이다.

윈도우 시스템에서 아직도 퀵타임을 사용하고 있다면 지금 당장 제거하라.

분산 추측
신용카드의 보안 수단은 생각만큼 안전하지 않다. 영국 뉴캐슬 대학 연구원들은 신용카드의 만료 날짜와 신용카드 확인 번호(CVV)를 비교적 쉽게 알아낼 수 있음을 입증해 보였다. 연구원들은 "분산 추측(distributed guessing)"이라는 기법을 사용해서 낮은 자릿수의 번호를 추정하는 참신한 방법을 생각해냈다.

기본적인 원리는 간단하다. 노트북 하나로 조금씩 다른 카드 만료 날짜와 CVV 정보를 사용해서 다양한 결제 사이트에서 동시에 수백 개의 추측을 실행한다. 연구진은 약 6초 내에 정확한 번호를 알아내서 신용 카드의 보안 코드를 풀 수 있다고 말했다. 이 약점은 결제 정보 입력 시도 횟수에 대한 제한이 없는데다 신용 카드 시스템이 부정확한 신용 카드 정보의 동시 입력을 적극적으로 모니터링하지 않는다는 데 기인한다.

DNC 해킹
2016년에는 해킹이 기업과 정부 기관을 못살게 구는 정도를 벗어나 미국 대통령 선거에까지 직접 개입했다. 첫 번째 사건은 미국 민주당 전국 위원회의 컴퓨터 네트워크가 침해된 것이다. 위키리크스는 지난7월 DNC 직원들이 사용한 약 20,000통의 이메일과 수천 개의 첨부 파일이 포함된 문건을 공개했다.

그 이후 여러 가지 스캔들이 터졌다. 여기에는 DNC가 민주당 후보로 앞서가던 힐러리 클린턴을 지지하기 위해 버니 샌더스의 선거 캠페인에 대해 적극적으로 방해 공작을 펼쳤음을 시사하는 내용도 포함됐다. 이 폭로 이후 DNC 회장 데비 워서먼 슐츠가 사임했다. 구시퍼 2.0(Guccifer 2.0)이라는 해커가 DNC 데이터 유출이 자신의 소행이라고 주장했지만 미국 수사 당국은 러시아와 연루된 세력의 해킹으로 판단했다.

러시아의 치졸한 행위
미국 수사 당국은 지난 9월 러시아가 미국 대통령 선거 방해를 시도했을 가능성을 조사했다. 2016년 연말을 맞은 현재 중앙 정보부(CIA)와 기타 미국 수사 기관들은 러시아가 선거에 은밀히 영향을 미치려 시도했음을 "강하게 확신"한다는 결론을 내렸다. 우려를 일으킨 점은 투표 기기에 대한 해킹이 아니라, 러시아 해커가 미국 양대 정당의 컴퓨터 시스템에 모두 침투했다는 점, 그리고 러시아 대통령 블라디미르 푸틴이 직접 연루되었을 가능성이 있다는 점이었다.

로이터에 따르면 12월 중순 현재 미국국가정보국(ODNI, 미국 정보 조직의 최고 기관)은 러시아 개입설을 지지하지 않고 있다.

샌 버너디노의 아이폰
2015년 12월 두 명의 이슬람 극단주의자가 캘리포니아 주 샌 버너디노에서 테러 공격을 감행, 14명이 사망하고 22명이 중상을 입는 사고가 발생했다. 범인은 이후 경찰과의 총격전 과정에서 사망했다.

2016년 이 테러리스트 중 한 명이 사용했던 아이폰이 쟁점으로 떠올랐다. 이 아이폰은 애플의 내장 보안 도구를 사용해 무단 접근을 차단한 상태였는데 FBI는 이 전화기 내용을 들여다볼 수 있도록 애플에 특수한 소프트웨어를 만들어줄 것을 요구했다. 애플은 이러한 FBI의 요구가 사실상 애플 자체의 보안 기능을 무력화하는 "맞춤형 맬웨어"를 만들라는 뜻이라며 거절했다.

이후 FBI는 한 보안 업체의 도움을 받아 전화기의 데이터를 입수하게 되면서 애플에 대한 요구도 철회했다. 입법 기관들은 이 사례 이후 암호화 기능이 적용된 상품을 판매하는 회사가 수사 당국에 어떻게 도움을 제공해야 하는지에 대해 고민하기 시작했다.

NSA 해킹
지난 8월 섀도우 브로커(Shadow Brokers)라는 해커 조직이 미국 국가 안전국(NSA)과 연결된 사이버 첩보 팀인 이퀘이전 그룹(Equation Group)의 해킹 도구를 입수했다고 발표했다. 섀도우 브로커는 침투 과정에서 NSA에서 사용하는 것으로 알려진 정교한 익스플로잇 도구를 입수했는데, 이 도구는 기기의 펌웨어를 감염시킬 뿐만 아니라 감염된 시스템의 운영 체제가 완전히 새로 설치된 이후에도 계속 남는다. 섀도우 브로커는 손에 넣은 이 귀중한 도구를 일부 노출시킨 후 자신들이 입수한 다른 해킹 도구를 판매하려고 시도했지만 10월 초를 기준으로 판매 실적은 거의 없었다.

스위프트 해킹
시작은 방글라데시 은행을 대상으로 스위프트(SWIFT: 국제은행간전기통신협회) 트랜잭션 소프트웨어를 노린 8,100만 달러 규모의 맬웨어 공격이었다. 그러나 5월 하순까지 전세계 십여 개의 은행이 스위프트 시스템에 대한 해킹 여부를 조사하기 시작했다. 7월이 되자 스위프트는 계속 확산되는 해킹을 제압하기 위해 외부 보안 전문가에게 도움을 요청했다. editor@itworld.co.kr

X