2017.08.01

"맨디언트 해킹했다"는 해커의 유출 정보가 시사하는 점

Steve Ragan | CSO
지난 7월 30일, 누군가 맨디언트(Mandiant) 선임 위협정보 분석가인 아디 페레츠가 관리하는 시스템을 해킹해 얻은 것으로 추정되는 상세 정보를 페스트빈에 게시했다.

유출된 기록은 이 분석가를 개인적으로나 전문적으로 노출시켰다. 그러나 이 게시물은 앞으로 좀 더 큰 사건과 추가적인 맨디언트 유출의 가능성을 추정할 수 있다.

이 게시물은 수천 명의 해커가 블랙햇, 비사이드 라스베가스, 그리고 데프콘(DEF CON)이 개최된 라스베가스에서 1주일을 보낸 후 몇 시간만에 올라온 것이다. 이 게시물은 맨디언트가 2016년부터 2017년 최근에 이르기까지 지속적으로 완전히 해킹당했다고 주장했다.

이 게시물은 "이번 유출은 우리가 맨디언트에 얼마나 깊게 침입했는지 짧게나마 보여준 것이다. 앞으로 더 중요한 데이터를 발표할 것이다"고 전했다. 유출된 데이터 대부분은 분석가의 이메일이 포함된 337MB PST 파일이다.

이 외에도 원 드라이브(One Drive) 계정, 라이브(Live) 계정, 링크드인(LinkedIn) 계정, 최소 1년동안의 개인 장치 위치 추적, 결제 기록, 페이팔(PayPal) 영수증, 그리고 라이브나 아마존 계정뿐만 아니라 파이어아이(FireEye), 웹엑스(WebEx)와 지라(JIRA)의 엔지니어링 포털에 대한 자격 증명을 해킹한 상세정보가 담긴 이미지가 있다. 또한 고객으로 추정되는 이스라엘의 하오알림 은행(Bank Hapoalim)과 IDF(Israel Defense Forces)를 포함한 내부문서, 프리젠테이션을 포함하고 있다.

또한 "맨디언트 내부에 들어가는 것은 굉장히 재미있었다. 우리는 맨디언트가 고객을 보호하는 방법과 바보 같은 분석가들이 악성코드를 역공학하려고 시도하는 방법을 지켜봤다. 현재 맨디언트는 우리가 자사의 인프라스트럭처에 얼마나 깊숙이 침투했는 지 알고 있다"고 말했다.

이번 유출은 페레즈 한명과 그가 사용하는 하나의 시스템을 중심으로 나타난다. 그러나 비즈니스 계정과 개인 계정이 광범위하게 해킹 당한 점으로 봐서는 공격자가 일개 직원을 넘어 침투 범위가 확장됐을 가능성을 시사한다.

추가적인 유출 위협에 대해 심각하게 받아들여야 할 것이며 최소한 한명의 분석가가 해킹당한 것은 분명한 사실이다. 그러나 맨디언트가 직접 사건의 규모와 범위를 확인해주지 않으면 일요일에 제기된 이 주장이 진실인지 아닌지 판단하기 어렵다.

이 게시물에서 명확히 나타난 것은 공격자의 표적이 이제 보안업체 전체가 아니라 자체 분석팀과 연구원이라는 점이다. 그래서 이 주장이 타당하다면 페레즈는 첫번째 표적일 뿐이었으며 일하는 동안 개인보안에 대해 철저히 하고 주의를 기울여야 한다는 교훈을 주고 있다.

본지는 분석가와 맨디언트 측에 답변을 요청했다. 마더보드의 조셉 콕스에 의해 공유된 성명서에서 맨디언트는 이 게시물과 조사에 대해 인지하고 있다고 전했다. "단계로 보면 한 직원의 개인 소셜 미디어 계정이 해킹 당한 것으로 보이며, 파이어아이 또는 맨디언트 시스템이 해킹당했다는 증거는 발견하지 못했다." editor@itworld.co.kr  

2017.08.01

"맨디언트 해킹했다"는 해커의 유출 정보가 시사하는 점

Steve Ragan | CSO
지난 7월 30일, 누군가 맨디언트(Mandiant) 선임 위협정보 분석가인 아디 페레츠가 관리하는 시스템을 해킹해 얻은 것으로 추정되는 상세 정보를 페스트빈에 게시했다.

유출된 기록은 이 분석가를 개인적으로나 전문적으로 노출시켰다. 그러나 이 게시물은 앞으로 좀 더 큰 사건과 추가적인 맨디언트 유출의 가능성을 추정할 수 있다.

이 게시물은 수천 명의 해커가 블랙햇, 비사이드 라스베가스, 그리고 데프콘(DEF CON)이 개최된 라스베가스에서 1주일을 보낸 후 몇 시간만에 올라온 것이다. 이 게시물은 맨디언트가 2016년부터 2017년 최근에 이르기까지 지속적으로 완전히 해킹당했다고 주장했다.

이 게시물은 "이번 유출은 우리가 맨디언트에 얼마나 깊게 침입했는지 짧게나마 보여준 것이다. 앞으로 더 중요한 데이터를 발표할 것이다"고 전했다. 유출된 데이터 대부분은 분석가의 이메일이 포함된 337MB PST 파일이다.

이 외에도 원 드라이브(One Drive) 계정, 라이브(Live) 계정, 링크드인(LinkedIn) 계정, 최소 1년동안의 개인 장치 위치 추적, 결제 기록, 페이팔(PayPal) 영수증, 그리고 라이브나 아마존 계정뿐만 아니라 파이어아이(FireEye), 웹엑스(WebEx)와 지라(JIRA)의 엔지니어링 포털에 대한 자격 증명을 해킹한 상세정보가 담긴 이미지가 있다. 또한 고객으로 추정되는 이스라엘의 하오알림 은행(Bank Hapoalim)과 IDF(Israel Defense Forces)를 포함한 내부문서, 프리젠테이션을 포함하고 있다.

또한 "맨디언트 내부에 들어가는 것은 굉장히 재미있었다. 우리는 맨디언트가 고객을 보호하는 방법과 바보 같은 분석가들이 악성코드를 역공학하려고 시도하는 방법을 지켜봤다. 현재 맨디언트는 우리가 자사의 인프라스트럭처에 얼마나 깊숙이 침투했는 지 알고 있다"고 말했다.

이번 유출은 페레즈 한명과 그가 사용하는 하나의 시스템을 중심으로 나타난다. 그러나 비즈니스 계정과 개인 계정이 광범위하게 해킹 당한 점으로 봐서는 공격자가 일개 직원을 넘어 침투 범위가 확장됐을 가능성을 시사한다.

추가적인 유출 위협에 대해 심각하게 받아들여야 할 것이며 최소한 한명의 분석가가 해킹당한 것은 분명한 사실이다. 그러나 맨디언트가 직접 사건의 규모와 범위를 확인해주지 않으면 일요일에 제기된 이 주장이 진실인지 아닌지 판단하기 어렵다.

이 게시물에서 명확히 나타난 것은 공격자의 표적이 이제 보안업체 전체가 아니라 자체 분석팀과 연구원이라는 점이다. 그래서 이 주장이 타당하다면 페레즈는 첫번째 표적일 뿐이었으며 일하는 동안 개인보안에 대해 철저히 하고 주의를 기울여야 한다는 교훈을 주고 있다.

본지는 분석가와 맨디언트 측에 답변을 요청했다. 마더보드의 조셉 콕스에 의해 공유된 성명서에서 맨디언트는 이 게시물과 조사에 대해 인지하고 있다고 전했다. "단계로 보면 한 직원의 개인 소셜 미디어 계정이 해킹 당한 것으로 보이며, 파이어아이 또는 맨디언트 시스템이 해킹당했다는 증거는 발견하지 못했다." editor@itworld.co.kr  

X