보안 / 프라이버시

해킹 팀, 데이터 유출 사건에 대한 대응과 추가적으로 드러난 내용 - 2부

Steve Ragan | CSO 2015.07.07
해킹 팀이 이번 해킹 사건에 대해 대응한 첫번 째 시도는 공포, 불확실, 그리고 의심을 조장하는 것이었다.

7월 5일 저녁, 누군가 해킹 팀(Hacking Team) 트위터 계정을 해킹했으며 이를 통해 이 업체의 잘나가는 해킹 툴을 알리는 데 사용했다. 한 마디로 해킹 툴로 잘 알려진 업체가 스스로 충격적인 해킹의 피해자가 된 셈이다.

이 해커들은 해킹 팀의 내부 문서, 소스코드, 이메일 내용이 담긴 400GB 토렌트 파일 전체를 대중에게 공개했다.

연구원들이 유출된 문서들이 어떤 것인지 설명하기 시작하면서 이번 해킹 사건은 점점 더 커지고 있다. 그리고 익스플로잇 개발업체의 실체가 대중에게 최초로 드러나고 있다

이탈리아 보안업체인 해킹 팀은 각 정부와 사법당국들에게 침입 및 감시 툴을 팔았다. 그러나 억압적 폭력을 행사하는 것으로 알려진 국가들에게 이 툴과 서비스를 판매함으로써 그들의 사업은 프라이버시 및 인권단체들로부터 비난의 대상이 됐다.



국경없는기자회(Reporters Without Borders)는 해킹 팀의 비즈니스 사례와 그들의 대표 감시 툴인 다 빈치를 이유로 인터넷의 적으로 등재했다.

7월 5일 저녁, 이 문서들은 온라인에 떠돌기 시작했으며, 해킹 팀이 이집트, 레바논, 에티오피아, 그리고 수단과 연관되어 있다는 정보가 속속 공유되기 시작했다.

특히 수단과 연관된 링크는 뉴스 가치가 있다. 이 업체는 예전에 수단과는 결코 사업을 하지 않았다고 공언한 바 있다. UN은 EU와 영국법에 의해 수단에 통상금지조치를 내렸다. 만약 해킹 팀이 수단 정부와 계속 사업을 해왔다면 커다란 곤경에 처해질 수 있다.

2014년 인권 그룹인 시티즌랩(Citizen Lab)의 보고서에서 해킹 팀의 원격 제어 시스템(Remote Control System, RCS)이 수단 정부에 의해 사용됐다는 증거가 드러난 바 있었다. 해킹 팀은 이를 완전히 부인했다.

그러나 이번 해킹 사건으로 유출된 400GB 자료 속에는 수단과 2012년 7월 2일 48만 유로짜리 계약서가 담겨져 있었다. 게다가 수단은 유지 보수 목록에 고객으로 등재되어 있었다. 그러나 공식적으로 지원하지 않음이라는 분류에 지정되어 있었다. 흥미로운 것은 러시아도 이 분류에 속해있다는 것이다.



러시아와 수단은 다음과 같은 다른 유지보수 고객들과 함께 자료에 노출되어 있었다.

- 이집트, 에티오피아, 모로코, 나이지리아, 칠레, 콜롬비아
- 에콰도르, 온두라스, 멕시코, 파나마, 미국
- 아제르바이잔, 카자흐스칸, 말레이시아, 몽골, 싱가포르, 대한민국
- 타이, 우즈베키스탄, 베트남, 오스트레일리아, 키프로스, 체코공화국
- 독일, 헝가리, 이탈리아, 룩셈부르크, 폴란드, 스페인
- 스위스, 바레인, 오만, 사우디아라비아, UAE


새롭게 드러난 서비스 청구서에는 이탈리아 사법 당국, 오만, 대한민국, UAE, 카자흐스탄, 몽골, 레바논, 독일, 사우디아라비아, 멕시코, 브라질, 싱가포르, 이집트, 베트남 등이 포함되어 있으며, 총 청구금액은 432만 4,350유로, 약 54억 원이었다.

이번 해킹 사건에 대해 해킹 팀의 직원이 월요일 아침에 출근할 때까지 수 시간동안 아무런 대응이 없었다. 해킹 팀의 직원 가운데 하나인 크리스티안 포지는 이번 해킹에 대해 자신은 응답할 수 없다는 공식 입장에도 불구하고 여러 번 응답을 했다.

포지는 "우리는 계속 지켜보고 있었다. 사람들은 이번 일로 체포될 수 있다는 것을 알아야 한다. 우리는 현재 경찰과 함께 일하고 있다"고 전했다.

포지는 "당신이 보는 전부를 믿지 마라. 공격자들이 주장하는 대부분은 사실이 아니다... 이 공격자들은 우리 회사에 대해 사실이 아닌 거짓말들을 퍼트리고 있다. 토렌트 파일은 바이러스가 포함되어 있다"고 경고했다.

포지는 트위터에 동일한 내용으로 댓글을 남겼는데, 포지가 주장한 내용을 요약하면 '해킹 팀은 현재 이번 사건에 대해 사법당국과 함께 일하고 있다', '대량의 토렌트 파일은 악성코드를 포함하고 있다', '고객들에게는 모두 연락을 취했으며, 자신의 회사는 어떤 불법적인 일도 하지 않았다'는 것이다.

"우리는 그저 우리 고객들이 요구하는 바에 따라 맞춤형 소프트웨어 솔루션을 제공할 뿐이다"고 전했다.

이후 포지는 자신의 트위터 계정을 삭제하거나 활동을 중지했다. 그가 트위터에 남긴 저장된 자료는 다음과 같다.

포지가 노출한 그의 취약한 비밀번호을 갖고 보안 연구원들이 토론한 것에 대해 감옥에 갈 것이라고 위협한 것은 가치가 있다. 게다가 거기에는 노출된 비밀번호가 얼마나 취약한지 예시를 보여 준 것과 함께 상세 정보가 담겨져 있었다.

이 자료더미에서 발견된 새롭게 업데이트된 정보는 VPN 로그인 목록이다. VPN 상세 정보가 노출됐는데, 해킹 팀은 고객들에게 미국과 유럽 지역의 계정에서 접속하도록 할당했다. 그러나 이 계정들은 모두 날아갔기 때문에 아무런 가치가 없다.

업데이트 1.
크리스티안 포지의 트위터 계정이 해킹 당했다는 것을 올린 바 있다. 이 해커는 직원들이 모두 퇴근하기 시작한 이후에 활동을 시작한 것으로 봐서는 해킹 팀을 표적으로 한 것으로 보인다.

그러나 포지의 트위터 상세 정보는 유출된 파이어폭스 비밀번호 저장소의 일부로 또다른 소셜 미디어 계정들과 함께 있었던 것이다.


업데이트 2.
독자들은 유지 보수 계약을 맺고 있는 국가들에 대한 추가적인 정보를 요구했다. 다음은 지난 5일 유출된 해킹 팀 자료의 나머지 부분이다.




업데이트 3.
마더보드가 보도한 기사에 따르면, 해킹 팀은 고객들 모두에게 갈릴레오(Galileo)라는 이름으로 판매한 RCS(Remote Control System) 사용을 중단할 것을 강력하게 권고하는 이메일을 보냈다.

마더보드가 보도한 기사에서 보여준 해킹 팀의 상황은 그들의 이메일 시스템에 대한 접속권한을 완전히 되찾지 못한 상태라는 걸 보여준다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.