2015.07.17

토픽 브리핑|전세계를 강타한 해킹 팀 해킹 사건과 그 파장

이대영 기자 | ITWorld
IT 전문업체나 보안업체들이 해킹을 당하는 것은 해킹당한 업체의 신뢰가 무너지는 것은 물론, 해당 업체 기업고객의 보안마저 위태롭게 하는, 엄청난 파장을 일으킬 수 있는 중차대한 사안이다.

하지만 보안업체의 해킹 사건은 사실 어제오늘만의 일이 아니다. 보안업체 직원 전원이 보안전문가가 아니기 때문에 보안 전문가들을 제외하면 일반 기업과 다를 바 없으며, 보안정책을 완벽히 지키지 않는 경우가 종종 있었다.

IT 업체를 무너뜨린 악명높은 해킹 사례 20선

10년 전인 2004년 마이크로소프트 기업 네트워크가 해킹당해 윈도우 2000의 소스코드가 유출된 사건을 비롯해 2010년에는 구글과 시스코가, 2011년에는 페이스북과 보안업체인 HB게리, RSA, 2012년에는 시만텍, 야후, 어도비, 2013년 비트9, 에버노트, 애플 등 우리가 알고있는 거의 모든 유명 IT 업체들이 해킹을 당한 바 있다. 2014년에는 국내에서만 카드사나 통신사의 고객 정보에서부터 한수원의 원전 도면까지 다양한 정보가 유출당했으며, 이는 올해 들어서도 진행중이다. 

전체 임직원 가운데 한명만 보안정책을 지키지 않아도 보안사고가 발생하며, 현재에 이르러서는 모든 직원들이 보안 정책을 지키더라도 해킹을 당할 수 있는 상황에 봉착했다.

특히 올해 6월 중순, 유명한 비밀번호 관리자 서비스 업체인 라스트패스(LastPass)와 7월 초, 침입 및 감시 툴 개발업체인 해킹 팀(Hacking Team)의 데이터 유출 사건은 다시한번 전세계를 들썩이게 만들었다.

라스트패스 해킹 당해...마스터 비밀번호 당장 변경해야
감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부

그러나 라스트패스의 데이터 유출과 해킹 팀의 그것과는 파괴력이나 여파 면에서 차원이 달랐다. 라스트패스가 유출한 것은 비밀번호 데이터베이스로, 사용자 계정 정보가 탈취됐다는 것인데, 다행히도 라스트패스는 충분한 보안책을 적절히 시행해 온 것으로 보여 이번 사고로 사용자들에게 심각한 2차 피해가 발생하는 일은 없을 것으로 예상된다.

글로벌 칼럼 | 또다시 고객 정보를 유출한 라스트패스
라스트패스 해킹 : 앞으로 해야 할 일

하지만 각 정부와 사법당국에게 침입 및 감시 툴을 판매하던 해킹 팀이 유출한 400GB의 데이터에는 소스코드, 영업 계약서, 회사 이메일, 내부 문서 등이 포함되어 있었고, 이 데이터 전체가 전세계에 공개된 것이다.

해킹 팀, 데이터 유출 사건에 대한 대응과 추가적으로 드러난 내용 - 2부

해킹 팀은 국경없는기자회(Reporters Without Borders)로부터 인터넷의 적으로 등재되어 있었으며, 인권침해국에 감시 툴을 판매했다는 고발을 당하는 등 이미 악명높은 업체였다.

해킹 팀의 고객 명단에는 대한민국을 포함해 미국, 독일은 물론 이집트, 에티오피아, 수단 등 인권탄압국도 포함되어 있는 것으로 드러났다.

- 이집트, 에티오피아, 모로코, 나이지리아, 칠레, 콜롬비아
- 에콰도르, 온두라스, 멕시코, 파나마, 미국
- 아제르바이잔, 카자흐스칸, 말레이시아, 몽골, 싱가포르, 대한민국
- 타이, 우즈베키스탄, 베트남, 오스트레일리아, 키프로스, 체코공화국
- 독일, 헝가리, 이탈리아, 룩셈부르크, 폴란드, 스페인
- 스위스, 바레인, 오만, 사우디아라비아, UAE


이로 인해 이 고객 명단에 기재된 국가에서는 상당한 정치적인 이슈가 발생하고 있으며, 국내에서도 국정원의 대국민 감시활동과 관련해 정치적인 문제로 발전했다.

물론 국가정보기관이 대외첩보활동을 위한 툴로써 활용했다면 이는 법률상 위배되지 않을 것이다. 하지만 이 툴을 대국민 감시용으로 사용하거나 불특정 다수에게 악성코드를 유포했다면 이는 명백한 법률 위반이다(일반 형법은 물론, 통신비밀보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률).

해킹 팀의 데이터 유출 문제는 각국 정부의 대국민 프라이버시 침해로 국한된 사안이 아니라는 점이다.

해킹 팀이 유출한 데이터에는 침입 및 감시 툴, 그리고 제로데이 익스플로잇이 포함되어 있었다는 점에서 보안 세계를 놀라게 했다. 또한 유출된 지 하루만에 뉴트리노와 앵글러 익스플로잇 킷에 통합, 사이버범죄에 활용하기 시작해 또한번 놀라게 했다.

유출된 플래시 제로데이 익스플로잇 사용 시작 - 해킹 팀 해킹 사건 - 3부
두번 째 플래시 플레이어 제로데이 익스플로잇 발견 ... 해킹 팀 해킹 사건

이번 데이터에는 익스플로잇이 어떻게 동작하고 활용할 수 있는지 상세 사양서까지 포함되어 있었다. 해킹 팀은 자사가 유출한 스파이 툴을 범죄자들과 테러리스트들이 사용하게 되면 엄청난 일이 발생할 것이라고 경고했다.

테러리스트들이 유출된 RCS 툴을 사용할 수 있다...해킹 팀 경고

갈릴레오(Galileo)로 알려진 해킹 팀의 대표 제품은 리포트 컨트롤 시스템(Remote Control System, RCS)이다. 이는 사법 당국이나 다른 정부 당국들이 표적의 데스트톱 컴퓨터와 모바일 기기에서 은밀하게 데이터를 가로챌 수 있는 툴이다.

특히 해킹 팀은 "자신들이 유출한 RCS를 각 보안업체들이 감지할 수 있게 업데이트할 것을 기대한다"는 말을 남겨 업계 공분을 사기도 했다.

그러나 사이버범죄자들이 극도로 철저한 조사를 받고 있는 이 툴을 사용할 이유가 있을 지 불명확하며, 따라서 해킹 팀의 주장은 가치가 있을 지 의문이다.

어도비와 마이크로소프트는 이번에 발견된 익스플로잇에 대해 패치했으며, 모잘라는 모든 취약점을 패치할 때까지 파이어폭스 내 어도비 플래시 플레이어를 차단하기로 했다.

어도비, 해킹팀에 의해 만들어진 플래시 제로데이 취약점 패치
마이크로소프트, 해킹 팀에게서 나온 제로데이 IE 취약점 패치
파이어폭스, 해킹 팀 이슈로 플래시 임시 차단

이번 데이터 유출로 인한 우려와 파장이 커져가는 가운데 해킹 팀은 이를 불식시키기 위해 노력하고 있지만 역부족일 것으로 보인다. 또한 이 사건은 이탈리아 내에서도 정치적인 이슈로 증폭되고 있다.

해킹 팀 CEO, '툴은 해킹당하지 않았다' 주장

해킹 팀 CEO 데이비드 빈센제티는 젊은 시절 온라인 프라이버시를 보호하기 위해 일했던 경력이 있다. 이제 빈센제티는 수단, 에티오피아, 사우디 아라비아 등 각 국민들에게 프라이버시를 침해하는 억압 정권을 도와주는 모순된 행동을 보여주고 있다.

또한 커져가는 러시아로부터의 사이버 위협에 대항해 자국을 보호하는데 도움을 제공한다는 애국적인 열정과 러시아 연방보안청(Federal Security Service, FSB)와 함께 밀접하게 일하고 있는 연구 기구인 크반트(Kvant)에 자신의 소프트웨어를 판매하는 기업가의 야망 사이에서 오락가락하고 있다.

이번 해킹 팀 해킹 사건은 '해킹의 산업화'에서 일어나는 대표적인 폐해 사례로 보이며. 유출된 데이터에서 드러나는 정보들과 취약점 정보를 사고파는 문제, 각국의 자국민 프라이버시 침해 문제들은 상당기간 오래 지속될 것으로 보인다. editor@itworld.co.kr

글로벌 칼럼 | 해킹의 산업화, IT 보안의 새로운 시대 직면
“윈도우 8의 취약점 가격은 얼마??”...뷰펜, 윈도우 8 취약점 판매
취약점 정보가 비즈니스 모델?...갑론을박


2015.07.17

토픽 브리핑|전세계를 강타한 해킹 팀 해킹 사건과 그 파장

이대영 기자 | ITWorld
IT 전문업체나 보안업체들이 해킹을 당하는 것은 해킹당한 업체의 신뢰가 무너지는 것은 물론, 해당 업체 기업고객의 보안마저 위태롭게 하는, 엄청난 파장을 일으킬 수 있는 중차대한 사안이다.

하지만 보안업체의 해킹 사건은 사실 어제오늘만의 일이 아니다. 보안업체 직원 전원이 보안전문가가 아니기 때문에 보안 전문가들을 제외하면 일반 기업과 다를 바 없으며, 보안정책을 완벽히 지키지 않는 경우가 종종 있었다.

IT 업체를 무너뜨린 악명높은 해킹 사례 20선

10년 전인 2004년 마이크로소프트 기업 네트워크가 해킹당해 윈도우 2000의 소스코드가 유출된 사건을 비롯해 2010년에는 구글과 시스코가, 2011년에는 페이스북과 보안업체인 HB게리, RSA, 2012년에는 시만텍, 야후, 어도비, 2013년 비트9, 에버노트, 애플 등 우리가 알고있는 거의 모든 유명 IT 업체들이 해킹을 당한 바 있다. 2014년에는 국내에서만 카드사나 통신사의 고객 정보에서부터 한수원의 원전 도면까지 다양한 정보가 유출당했으며, 이는 올해 들어서도 진행중이다. 

전체 임직원 가운데 한명만 보안정책을 지키지 않아도 보안사고가 발생하며, 현재에 이르러서는 모든 직원들이 보안 정책을 지키더라도 해킹을 당할 수 있는 상황에 봉착했다.

특히 올해 6월 중순, 유명한 비밀번호 관리자 서비스 업체인 라스트패스(LastPass)와 7월 초, 침입 및 감시 툴 개발업체인 해킹 팀(Hacking Team)의 데이터 유출 사건은 다시한번 전세계를 들썩이게 만들었다.

라스트패스 해킹 당해...마스터 비밀번호 당장 변경해야
감시 툴 전문 업체 해킹 팀, 해킹 당해 내부 자료 400GB 유출 - 1부

그러나 라스트패스의 데이터 유출과 해킹 팀의 그것과는 파괴력이나 여파 면에서 차원이 달랐다. 라스트패스가 유출한 것은 비밀번호 데이터베이스로, 사용자 계정 정보가 탈취됐다는 것인데, 다행히도 라스트패스는 충분한 보안책을 적절히 시행해 온 것으로 보여 이번 사고로 사용자들에게 심각한 2차 피해가 발생하는 일은 없을 것으로 예상된다.

글로벌 칼럼 | 또다시 고객 정보를 유출한 라스트패스
라스트패스 해킹 : 앞으로 해야 할 일

하지만 각 정부와 사법당국에게 침입 및 감시 툴을 판매하던 해킹 팀이 유출한 400GB의 데이터에는 소스코드, 영업 계약서, 회사 이메일, 내부 문서 등이 포함되어 있었고, 이 데이터 전체가 전세계에 공개된 것이다.

해킹 팀, 데이터 유출 사건에 대한 대응과 추가적으로 드러난 내용 - 2부

해킹 팀은 국경없는기자회(Reporters Without Borders)로부터 인터넷의 적으로 등재되어 있었으며, 인권침해국에 감시 툴을 판매했다는 고발을 당하는 등 이미 악명높은 업체였다.

해킹 팀의 고객 명단에는 대한민국을 포함해 미국, 독일은 물론 이집트, 에티오피아, 수단 등 인권탄압국도 포함되어 있는 것으로 드러났다.

- 이집트, 에티오피아, 모로코, 나이지리아, 칠레, 콜롬비아
- 에콰도르, 온두라스, 멕시코, 파나마, 미국
- 아제르바이잔, 카자흐스칸, 말레이시아, 몽골, 싱가포르, 대한민국
- 타이, 우즈베키스탄, 베트남, 오스트레일리아, 키프로스, 체코공화국
- 독일, 헝가리, 이탈리아, 룩셈부르크, 폴란드, 스페인
- 스위스, 바레인, 오만, 사우디아라비아, UAE


이로 인해 이 고객 명단에 기재된 국가에서는 상당한 정치적인 이슈가 발생하고 있으며, 국내에서도 국정원의 대국민 감시활동과 관련해 정치적인 문제로 발전했다.

물론 국가정보기관이 대외첩보활동을 위한 툴로써 활용했다면 이는 법률상 위배되지 않을 것이다. 하지만 이 툴을 대국민 감시용으로 사용하거나 불특정 다수에게 악성코드를 유포했다면 이는 명백한 법률 위반이다(일반 형법은 물론, 통신비밀보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률).

해킹 팀의 데이터 유출 문제는 각국 정부의 대국민 프라이버시 침해로 국한된 사안이 아니라는 점이다.

해킹 팀이 유출한 데이터에는 침입 및 감시 툴, 그리고 제로데이 익스플로잇이 포함되어 있었다는 점에서 보안 세계를 놀라게 했다. 또한 유출된 지 하루만에 뉴트리노와 앵글러 익스플로잇 킷에 통합, 사이버범죄에 활용하기 시작해 또한번 놀라게 했다.

유출된 플래시 제로데이 익스플로잇 사용 시작 - 해킹 팀 해킹 사건 - 3부
두번 째 플래시 플레이어 제로데이 익스플로잇 발견 ... 해킹 팀 해킹 사건

이번 데이터에는 익스플로잇이 어떻게 동작하고 활용할 수 있는지 상세 사양서까지 포함되어 있었다. 해킹 팀은 자사가 유출한 스파이 툴을 범죄자들과 테러리스트들이 사용하게 되면 엄청난 일이 발생할 것이라고 경고했다.

테러리스트들이 유출된 RCS 툴을 사용할 수 있다...해킹 팀 경고

갈릴레오(Galileo)로 알려진 해킹 팀의 대표 제품은 리포트 컨트롤 시스템(Remote Control System, RCS)이다. 이는 사법 당국이나 다른 정부 당국들이 표적의 데스트톱 컴퓨터와 모바일 기기에서 은밀하게 데이터를 가로챌 수 있는 툴이다.

특히 해킹 팀은 "자신들이 유출한 RCS를 각 보안업체들이 감지할 수 있게 업데이트할 것을 기대한다"는 말을 남겨 업계 공분을 사기도 했다.

그러나 사이버범죄자들이 극도로 철저한 조사를 받고 있는 이 툴을 사용할 이유가 있을 지 불명확하며, 따라서 해킹 팀의 주장은 가치가 있을 지 의문이다.

어도비와 마이크로소프트는 이번에 발견된 익스플로잇에 대해 패치했으며, 모잘라는 모든 취약점을 패치할 때까지 파이어폭스 내 어도비 플래시 플레이어를 차단하기로 했다.

어도비, 해킹팀에 의해 만들어진 플래시 제로데이 취약점 패치
마이크로소프트, 해킹 팀에게서 나온 제로데이 IE 취약점 패치
파이어폭스, 해킹 팀 이슈로 플래시 임시 차단

이번 데이터 유출로 인한 우려와 파장이 커져가는 가운데 해킹 팀은 이를 불식시키기 위해 노력하고 있지만 역부족일 것으로 보인다. 또한 이 사건은 이탈리아 내에서도 정치적인 이슈로 증폭되고 있다.

해킹 팀 CEO, '툴은 해킹당하지 않았다' 주장

해킹 팀 CEO 데이비드 빈센제티는 젊은 시절 온라인 프라이버시를 보호하기 위해 일했던 경력이 있다. 이제 빈센제티는 수단, 에티오피아, 사우디 아라비아 등 각 국민들에게 프라이버시를 침해하는 억압 정권을 도와주는 모순된 행동을 보여주고 있다.

또한 커져가는 러시아로부터의 사이버 위협에 대항해 자국을 보호하는데 도움을 제공한다는 애국적인 열정과 러시아 연방보안청(Federal Security Service, FSB)와 함께 밀접하게 일하고 있는 연구 기구인 크반트(Kvant)에 자신의 소프트웨어를 판매하는 기업가의 야망 사이에서 오락가락하고 있다.

이번 해킹 팀 해킹 사건은 '해킹의 산업화'에서 일어나는 대표적인 폐해 사례로 보이며. 유출된 데이터에서 드러나는 정보들과 취약점 정보를 사고파는 문제, 각국의 자국민 프라이버시 침해 문제들은 상당기간 오래 지속될 것으로 보인다. editor@itworld.co.kr

글로벌 칼럼 | 해킹의 산업화, IT 보안의 새로운 시대 직면
“윈도우 8의 취약점 가격은 얼마??”...뷰펜, 윈도우 8 취약점 판매
취약점 정보가 비즈니스 모델?...갑론을박


X