보안

“클릭 실수 한번으로” 러시아 해커가 야후를 털어간 방법

Martyn Williams | IDG News Service 2017.03.16
한 번의 클릭 실수였다. 이 한 번의 실수가 러시아 보안 기관과 연결된 해커가 야후 네트워크에 대한 접근 권한을 얻고 5억 명에 달하는 사람들의 이메일 메시지와 개인 정보를 가져갈 수 있도록 했다.

미 FBI는 2년 동안 야후에 대한 침입을 조사해 왔는데, 해킹의 전모가 드러난 것은 2016년 말이나 되어서였다. 그리고 지난 15일 FBI는 4명을 해킹 공격 용의자로 기소했는데, 이 중 두 명은 러시아 정보요원인 것으로 알려졌다. FBI가 밝힌 해킹 기법을 살펴 보자.

이번 해킹은 지난 2014년 초 야후 직원에게 보낸 스피어 피싱 이메일로 시작됐다. 얼마나 많은 직원이 공격 대상이었는지, 얼마나 많은 이메일을 전송했는지는 확실하지 않다. 하지만 단 한 명이 이메일의 링크를 클릭했고, 그것으로 해킹이 본격적화됐다.

러시아 정보기관이 고용한 라트비아 해커 알렉세이 벨란은 일단 네트워크 주변을 탐색하기 시작했고, 목표는 두 가지였다. 야후의 사용자 데이터베이스와 데이터베이스를 편집할 수 있는 계정 관리 툴이 목표였는데, 벨란은 금방 이 두 가지를 찾아냈다.

이들 통해 액세스 권한을 유지한 벨란은 야후 서버에 백도어를 설치했고, 12월에는 야후 사용자 데이터베이스의 백업본을 훔쳐 자신의 컴퓨터로 전송했다. 이 데이터베이스에는 사용자의 이름과 전화번호, 패스워드를 잃어버렸을 때의 질문과 답, 그리고 결정적으로 패스워드 복구 이메일과 각 계정 고유의 암호화 값이 담겨 있었다.

마지막 두 가지가 바로 벨란과 그의 동료인 직업 해커 카림 바라토브가 러시아 정보요원 드미트리 도쿠체프와 이고르 수시친이 요청한 특정 사용자의 계정에 액세스할 수 있는 정보였다.

미 지방법원에 제출된 야후 해킹 범인 4명에 대한 FBI의 공소장

계정 관리 툴은 사용자 이름 같은 일반 텍스트 검색을 허용하지 않았기 때문에 해커들은 이메일 주소를 복구하는 방법을 사용했다. 때로는 복구 이메일 주소를 기반으로 목표를 알아볼 수 있었으며, 이메일 도메인으로 계정 소유자가 일하는 직장이나 조직을 파악하기도 했다.

일단 목표 계정을 확인하면, 해커들은 훔친 암호화 값을 사용해 야후 서버에 설치해 둔 스크립트를 통해 액세스 쿠키를 생성했다. 이들 쿠키는 2015년부터 2016년에 걸쳐 수없이 생성했는데, 해커는 이를 통해 사용자의 이메일 계정에 패스워드를 입력하지 않고도 액세스할 수 있다.

이 과정을 통해 벨란과 바라토브는 자신들의 해킹 방법을 실험해 볼 수 있었다. 해커들이 액세스할 수 있었던 계정은 5억 개에 달했지만, 실제로 생성한 쿠키는 약 6,500개 계정이었다. 해킹 당한 사용자 중에는 러시아 내무부 관리, 러시아 체육부에서 일하는 트레이너, 러시아 언론인, 미국 정부 공무원, 스위스 비트코인 업체 직원, 미 항공사 직원 등이 포함되어 있었다.

야후가 2014년 처음 FBI에 연락했을 때는 실험 공격이었고, 해커가 목표로 한 계정은 26개였다. 그리고 2016년 8월에야 해킹의 전체 규모가 드러나고 FBI가 본격적인 수사에 착수했다. 2016년 12월 야후는 해킹 사실을 발표하고 사용자들에게 패스워드를 변경할 것으로 조언했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.