2010.12.06

“흥미진진한” 2010년 10대 보안 사건

Ellen Messmer/Tim Greene | Network World

2010년에 일어난 황당하거나 씁쓸한 10가지 보안 사건을 묘사하는 데는 “SNAFU(Situation Normal, All F---ked Up; 언제나처럼 엉망진창임)”라는 오래된 문구만큼 잘 어울리는 게 없다.

 

이들 사건의 주인공으로 구글, 시스코, 맥아피, AT&T와 같은 IT 업계 거물들이 등장한 것은 새삼스럽진 않다. 해커들의 알기 쉬운 먹이 감인데다 이들의 보안 실수 자체가 빅뉴스이기 때문이다. 이제 사례를 하나씩 살펴보자.  

 

1. 오로라 공격

1월 구글은 지난 해 12월 있었던 네트워크 침투를 통해 귀중한 지적 재산을 도난 당했다고 인정하면서, 이른바 ‘오로라 공격(Aurora attacks)’이라는 이 사이버 공격의 진원지가 중국임을 넌지시 내비쳤다. 구글 외에도 10여 곳의 첨단 기술 산업 회사들이 동일한 수법으로 공격을 받은 듯하다. 중국 정부는 시치미를 뗀다. 구글은 그때까지 중국 정부의 검색 엔진 검열에 관한 지시사항을 준수해왔으나 이 사이버 공격에 격분하며 이를 무시하겠다고 발표하면서 자신의 중국 내 검색 엔진 라이선스를 위태롭게 했다. 하지만 연말 중국의 압력에 못 이겨 중국 이용자 트래픽을 보다 진보적인 홍콩의 사이트로 리다이렉트하는 방식을 포기했고, 중국 라이선스를 갱신하고는 검열을 받아들였다.

 

2. 중국 ISP의 인터넷 리라우팅

중국의 IDC 차이나 텔레커뮤니케이션이라는 소규모 ISP가 허위 경로 데이터를 전송해 인터넷을 짧은 시간 하이재킹하고 이를 국영 차이나 텔레커뮤니케이션즈로 재전송하며 전세계의 서비스 제공업체에 영향을 주었다. 이 사태는 11월 국회에 제출된 ‘2010년 미국-중국경제안보검토’ 위원회 보고서에서 언급되었다. 보고서에서는 차이나 텔레콤이 4월 8일 18분 동안 중국 서버를 통과하는 인터넷 트래픽 중 15%의 경로를 변경하면서 U.S. 정부 및 군사 웹사이트에 영향을 주었음을 지적했다. 이로 인해 적잖은 파문이 일면서 언론에서 중국이 사이버 공격 능력을 시험하고 있는 것 아니냐는 의혹을 제기하자 차이나 텔레콤은 4월의 트래픽 경로 변경이 단순한 사고라면서 의혹을 부인했다.  

 

3. 맥아피의 아찔한 순간

AP27E6.JPG맥아피가 결함 있는 안티바이러스 업데이트를 유포하는 엽기적인 일을 저질렀다. 그 유명한 ‘McAfee DAT file 5958’이라는 파일은 MS의 ‘죽음의 파란 화면’ 같은 기능 이상 그리고 DoS 효과로 수많은 맥아피 고객들의 PC를 황폐화시켰다. 맥아피는 데이브 드월트 CEO 겸 사장의 깊은 사과와 함께 자신이 저지른 황당한 사건에 대한 갖가지 해결책을 서둘러 내놓았지만 여전히 일부 고객들은 무슨 일을 그런 식으로 처리하냐면서 격앙된 반응이었다.  

 

4. 시스코의 깜짝 쇼

분명 엄청난 데이터 유출은 아니지만 전세계로부터 보안 분야의 리더로 인정 받고 싶어 하고 또 그만한 실적도 가지고 있는 네트워크 기업인 시스코의 체면이 말이 아니게 됐다. 시스코 라이브 2010 이용자 컨퍼런스의 참가가 명단을 해킹 당한 것이다. 시스코는 이 보안 유출을 고객들과 다양한 거래 기업에게 통지했다. 시스코는 자세한 언급을 꺼리고 있지만 한 거래 기업이 ‘행사 사이트인 ‘ciscolive2010.com'을 통해 참가자 정보에 접근하려는 예기치 않은 시도가 있었음’을 시스코에게 알려준 듯 하다. 시스코는 이 유출을 신속히 차단했지만 명단 일부로의 접근은 막을 수 없었다고 밝혔다. 노출된 정보는 시스코 라이브 행사 명찰 번호, 이름, 직위, 회사 주소 및 이메일 주소 등이다. 시스코는 행사 참가자와 초청은 받았지만 참가하지 않은 사람들에게 이메일을 통해 사과했다.

 

5. 구글의 스니핑

구글이 전 세계를 대상으로 한 스트리트 뷰 촬영 차 프로젝트(Street View car projects)를 진행하면서 지도 서비스에 쓰일 정보를 수집하기 위한 목적으로 암호화되지 않은 Wi-Fi 네트워크에서 개인으로부터 데이터를 무선으로 스니핑하고 수집한 것에 대해 사과했다.  유럽과 미국의 프라이버시 옹호자들과 규제 당국의 분노 속에서 구글은 단지 착오로 일어난 일 일뿐이라고 해명하면서 구글의 앨런 유스태스 리서치 및 엔지니어링 담당 수석 부사장의 블로그 게시물에서 밝힌 바와 같이 수집한 데이터를 폐기하겠다고 약속했다. 또한 구글은 스트리트뷰 서비스를 위해 피츠버그 지역의 한 가옥을 촬영할 때 무단 침입한 사실을 인정했고 소송을 제기한 부부에게 단돈 1달러의 손해배상금을 지급하면서 사건을 무마하기도 했다.  

 

6. 아이패드 해킹

자칭 고츠 시큐리티(Goatse Security)라는 해커 집단이 AT&T의 한 웹 애플리케이션의 보안 결함을 악용하며 아이패드 고객 10만 명 이상의 이메일 주소 기록을 유출시켰다. FBI는 가옥 급습을 통해 이 해커들 중 한 명을 마약 관련 중 범죄 혐의로 체포했다.

 

7. 건강에 해로운 보안

매사추세츠의 사우스쇼어 병원이 15년치에 해당하는 환자, 거래 기업, 직원의 건강 및 금융 정보와 연관된 약 80만 건의 파일을 분실했다고 발표했다. 하지만 영향을 받은 대상에게 개별적으로 접촉하겠다던 처음의 언급과 달리 데이터 유출로 영향을 받은 개인들에게 통지를 보내지 않는 것으로 마음을 바꿔버렸다. 메사추세츠 검찰 측은 이의를 제기하고 통지를 하도록 촉구했다.

 

8. 스파이 코미디

앤너 채프먼은 미국에서 다른 10여명의 러시아 스파이와 함께 FBI에게 체포되어 스파이 교환을 통해 모스크바로 송환됐다. 이후 앤너는 모스크바의 한 잡지에서 검은 란제리의 도발적인 포즈로 모습을 드러냈고, FBI의 체포에 일조한 그의 대단찮은 IT 지식에도 불구하고 한 러시아 은행의 IT 혁신 담당으로 취직했다. FBI는 그를 감시하는 동안 그의 무선 네트워크를 일상적으로 스니핑했다. 심지어 앤너는 미국의 비밀 첩보원에게 자신의 노트북 수리를 맡기기까지 했다. 그런 그가 러시아로 귀환하자 러시아의 은행인 폰드세르비스방크가 IT 기술 혁신을 위해 그를 고용한 것이다.  

 

9. Stuxnet

지난 6월 처음 발견됐지만 훨씬 이전부터 있었던 것으로 추정되는 Stuxnet 웜은 SCADA(Supervisory Control and Data Acquisition) 시스템을 겨냥한 지극히 정교한 맬웨어로서 주로 이란의 핵 시설을 겨냥한 것으로 밝혀졌다. 이란의 추정적 핵폭탄 제조 시도를 저지하는 사이버 전쟁 무기인 듯하다. 이란은 10월 이 웜이 최대 3만개에 이르는 자국 내의 시스템에 영향을 주었음을 확인해주었고, 이어 11월 마흐모드 아마디네자드 대통령은 이란의 적들이 ‘전자 부품에 설치한 소프트웨어로 일부 원심분리기에 문제를 야기하는데 성공했다’고 밝히면서 이를 ‘사악한 행위’라고 맹비난했다.

 

10. 위키리크스의 귀환

방대한 양의 미국 국무부 전문 도난 사건이다. 대외 관계와 관련된 각종 외교 통신문과 세계 지도자들의 공공연한 비밀을 담고 있는 25만 건 이상의 메시지가 위키리크스에서 공개됐다. 힐러리 클린턴 국무장관은 이를 ‘공격’이라고 부르는 한편 전세계의 상대국에게 데이터 유출에 대해 서둘러 사과를 표명했다. 25만 건의 국무부 문건에서 발견된 그럴듯한 정보 중에는 신원을 알 수 없는 한 중국인이 국무부에게 한 말을 인용하며 중국 공산당 정치국이 구글에 대한 사이버 침입을 지시했음을 밝힌 문건이 있다. 중국 정부는 영문을 모르겠다는 반응이다. 그리고는 유출된 국무부 전문이 게시되어 있는 위키리크스 웹사이트로의 접속을 차단했다.  editor@idg.co.kr



2010.12.06

“흥미진진한” 2010년 10대 보안 사건

Ellen Messmer/Tim Greene | Network World

2010년에 일어난 황당하거나 씁쓸한 10가지 보안 사건을 묘사하는 데는 “SNAFU(Situation Normal, All F---ked Up; 언제나처럼 엉망진창임)”라는 오래된 문구만큼 잘 어울리는 게 없다.

 

이들 사건의 주인공으로 구글, 시스코, 맥아피, AT&T와 같은 IT 업계 거물들이 등장한 것은 새삼스럽진 않다. 해커들의 알기 쉬운 먹이 감인데다 이들의 보안 실수 자체가 빅뉴스이기 때문이다. 이제 사례를 하나씩 살펴보자.  

 

1. 오로라 공격

1월 구글은 지난 해 12월 있었던 네트워크 침투를 통해 귀중한 지적 재산을 도난 당했다고 인정하면서, 이른바 ‘오로라 공격(Aurora attacks)’이라는 이 사이버 공격의 진원지가 중국임을 넌지시 내비쳤다. 구글 외에도 10여 곳의 첨단 기술 산업 회사들이 동일한 수법으로 공격을 받은 듯하다. 중국 정부는 시치미를 뗀다. 구글은 그때까지 중국 정부의 검색 엔진 검열에 관한 지시사항을 준수해왔으나 이 사이버 공격에 격분하며 이를 무시하겠다고 발표하면서 자신의 중국 내 검색 엔진 라이선스를 위태롭게 했다. 하지만 연말 중국의 압력에 못 이겨 중국 이용자 트래픽을 보다 진보적인 홍콩의 사이트로 리다이렉트하는 방식을 포기했고, 중국 라이선스를 갱신하고는 검열을 받아들였다.

 

2. 중국 ISP의 인터넷 리라우팅

중국의 IDC 차이나 텔레커뮤니케이션이라는 소규모 ISP가 허위 경로 데이터를 전송해 인터넷을 짧은 시간 하이재킹하고 이를 국영 차이나 텔레커뮤니케이션즈로 재전송하며 전세계의 서비스 제공업체에 영향을 주었다. 이 사태는 11월 국회에 제출된 ‘2010년 미국-중국경제안보검토’ 위원회 보고서에서 언급되었다. 보고서에서는 차이나 텔레콤이 4월 8일 18분 동안 중국 서버를 통과하는 인터넷 트래픽 중 15%의 경로를 변경하면서 U.S. 정부 및 군사 웹사이트에 영향을 주었음을 지적했다. 이로 인해 적잖은 파문이 일면서 언론에서 중국이 사이버 공격 능력을 시험하고 있는 것 아니냐는 의혹을 제기하자 차이나 텔레콤은 4월의 트래픽 경로 변경이 단순한 사고라면서 의혹을 부인했다.  

 

3. 맥아피의 아찔한 순간

AP27E6.JPG맥아피가 결함 있는 안티바이러스 업데이트를 유포하는 엽기적인 일을 저질렀다. 그 유명한 ‘McAfee DAT file 5958’이라는 파일은 MS의 ‘죽음의 파란 화면’ 같은 기능 이상 그리고 DoS 효과로 수많은 맥아피 고객들의 PC를 황폐화시켰다. 맥아피는 데이브 드월트 CEO 겸 사장의 깊은 사과와 함께 자신이 저지른 황당한 사건에 대한 갖가지 해결책을 서둘러 내놓았지만 여전히 일부 고객들은 무슨 일을 그런 식으로 처리하냐면서 격앙된 반응이었다.  

 

4. 시스코의 깜짝 쇼

분명 엄청난 데이터 유출은 아니지만 전세계로부터 보안 분야의 리더로 인정 받고 싶어 하고 또 그만한 실적도 가지고 있는 네트워크 기업인 시스코의 체면이 말이 아니게 됐다. 시스코 라이브 2010 이용자 컨퍼런스의 참가가 명단을 해킹 당한 것이다. 시스코는 이 보안 유출을 고객들과 다양한 거래 기업에게 통지했다. 시스코는 자세한 언급을 꺼리고 있지만 한 거래 기업이 ‘행사 사이트인 ‘ciscolive2010.com'을 통해 참가자 정보에 접근하려는 예기치 않은 시도가 있었음’을 시스코에게 알려준 듯 하다. 시스코는 이 유출을 신속히 차단했지만 명단 일부로의 접근은 막을 수 없었다고 밝혔다. 노출된 정보는 시스코 라이브 행사 명찰 번호, 이름, 직위, 회사 주소 및 이메일 주소 등이다. 시스코는 행사 참가자와 초청은 받았지만 참가하지 않은 사람들에게 이메일을 통해 사과했다.

 

5. 구글의 스니핑

구글이 전 세계를 대상으로 한 스트리트 뷰 촬영 차 프로젝트(Street View car projects)를 진행하면서 지도 서비스에 쓰일 정보를 수집하기 위한 목적으로 암호화되지 않은 Wi-Fi 네트워크에서 개인으로부터 데이터를 무선으로 스니핑하고 수집한 것에 대해 사과했다.  유럽과 미국의 프라이버시 옹호자들과 규제 당국의 분노 속에서 구글은 단지 착오로 일어난 일 일뿐이라고 해명하면서 구글의 앨런 유스태스 리서치 및 엔지니어링 담당 수석 부사장의 블로그 게시물에서 밝힌 바와 같이 수집한 데이터를 폐기하겠다고 약속했다. 또한 구글은 스트리트뷰 서비스를 위해 피츠버그 지역의 한 가옥을 촬영할 때 무단 침입한 사실을 인정했고 소송을 제기한 부부에게 단돈 1달러의 손해배상금을 지급하면서 사건을 무마하기도 했다.  

 

6. 아이패드 해킹

자칭 고츠 시큐리티(Goatse Security)라는 해커 집단이 AT&T의 한 웹 애플리케이션의 보안 결함을 악용하며 아이패드 고객 10만 명 이상의 이메일 주소 기록을 유출시켰다. FBI는 가옥 급습을 통해 이 해커들 중 한 명을 마약 관련 중 범죄 혐의로 체포했다.

 

7. 건강에 해로운 보안

매사추세츠의 사우스쇼어 병원이 15년치에 해당하는 환자, 거래 기업, 직원의 건강 및 금융 정보와 연관된 약 80만 건의 파일을 분실했다고 발표했다. 하지만 영향을 받은 대상에게 개별적으로 접촉하겠다던 처음의 언급과 달리 데이터 유출로 영향을 받은 개인들에게 통지를 보내지 않는 것으로 마음을 바꿔버렸다. 메사추세츠 검찰 측은 이의를 제기하고 통지를 하도록 촉구했다.

 

8. 스파이 코미디

앤너 채프먼은 미국에서 다른 10여명의 러시아 스파이와 함께 FBI에게 체포되어 스파이 교환을 통해 모스크바로 송환됐다. 이후 앤너는 모스크바의 한 잡지에서 검은 란제리의 도발적인 포즈로 모습을 드러냈고, FBI의 체포에 일조한 그의 대단찮은 IT 지식에도 불구하고 한 러시아 은행의 IT 혁신 담당으로 취직했다. FBI는 그를 감시하는 동안 그의 무선 네트워크를 일상적으로 스니핑했다. 심지어 앤너는 미국의 비밀 첩보원에게 자신의 노트북 수리를 맡기기까지 했다. 그런 그가 러시아로 귀환하자 러시아의 은행인 폰드세르비스방크가 IT 기술 혁신을 위해 그를 고용한 것이다.  

 

9. Stuxnet

지난 6월 처음 발견됐지만 훨씬 이전부터 있었던 것으로 추정되는 Stuxnet 웜은 SCADA(Supervisory Control and Data Acquisition) 시스템을 겨냥한 지극히 정교한 맬웨어로서 주로 이란의 핵 시설을 겨냥한 것으로 밝혀졌다. 이란의 추정적 핵폭탄 제조 시도를 저지하는 사이버 전쟁 무기인 듯하다. 이란은 10월 이 웜이 최대 3만개에 이르는 자국 내의 시스템에 영향을 주었음을 확인해주었고, 이어 11월 마흐모드 아마디네자드 대통령은 이란의 적들이 ‘전자 부품에 설치한 소프트웨어로 일부 원심분리기에 문제를 야기하는데 성공했다’고 밝히면서 이를 ‘사악한 행위’라고 맹비난했다.

 

10. 위키리크스의 귀환

방대한 양의 미국 국무부 전문 도난 사건이다. 대외 관계와 관련된 각종 외교 통신문과 세계 지도자들의 공공연한 비밀을 담고 있는 25만 건 이상의 메시지가 위키리크스에서 공개됐다. 힐러리 클린턴 국무장관은 이를 ‘공격’이라고 부르는 한편 전세계의 상대국에게 데이터 유출에 대해 서둘러 사과를 표명했다. 25만 건의 국무부 문건에서 발견된 그럴듯한 정보 중에는 신원을 알 수 없는 한 중국인이 국무부에게 한 말을 인용하며 중국 공산당 정치국이 구글에 대한 사이버 침입을 지시했음을 밝힌 문건이 있다. 중국 정부는 영문을 모르겠다는 반응이다. 그리고는 유출된 국무부 전문이 게시되어 있는 위키리크스 웹사이트로의 접속을 차단했다.  editor@idg.co.kr



X