미 FBI는 2년 동안 야후에 대한 침입을 조사해 왔는데, 해킹의 전모가 드러난 것은 2016년 말이나 되어서였다. 그리고 지난 15일 FBI는 4명을 해킹 공격 용의자로 기소했는데, 이 중 두 명은 러시아 정보요원인 것으로 알려졌다. FBI가 밝힌 해킹 기법을 살펴 보자.
이번 해킹은 지난 2014년 초 야후 직원에게 보낸 스피어 피싱 이메일로 시작됐다. 얼마나 많은 직원이 공격 대상이었는지, 얼마나 많은 이메일을 전송했는지는 확실하지 않다. 하지만 단 한 명이 이메일의 링크를 클릭했고, 그것으로 해킹이 본격적화됐다.
러시아 정보기관이 고용한 라트비아 해커 알렉세이 벨란은 일단 네트워크 주변을 탐색하기 시작했고, 목표는 두 가지였다. 야후의 사용자 데이터베이스와 데이터베이스를 편집할 수 있는 계정 관리 툴이 목표였는데, 벨란은 금방 이 두 가지를 찾아냈다.
이들 통해 액세스 권한을 유지한 벨란은 야후 서버에 백도어를 설치했고, 12월에는 야후 사용자 데이터베이스의 백업본을 훔쳐 자신의 컴퓨터로 전송했다. 이 데이터베이스에는 사용자의 이름과 전화번호, 패스워드를 잃어버렸을 때의 질문과 답, 그리고 결정적으로 패스워드 복구 이메일과 각 계정 고유의 암호화 값이 담겨 있었다.
마지막 두 가지가 바로 벨란과 그의 동료인 직업 해커 카림 바라토브가 러시아 정보요원 드미트리 도쿠체프와 이고르 수시친이 요청한 특정 사용자의 계정에 액세스할 수 있는 정보였다.
계정 관리 툴은 사용자 이름 같은 일반 텍스트 검색을 허용하지 않았기 때문에 해커들은 이메일 주소를 복구하는 방법을 사용했다. 때로는 복구 이메일 주소를 기반으로 목표를 알아볼 수 있었으며, 이메일 도메인으로 계정 소유자가 일하는 직장이나 조직을 파악하기도 했다.
일단 목표 계정을 확인하면, 해커들은 훔친 암호화 값을 사용해 야후 서버에 설치해 둔 스크립트를 통해 액세스 쿠키를 생성했다. 이들 쿠키는 2015년부터 2016년에 걸쳐 수없이 생성했는데, 해커는 이를 통해 사용자의 이메일 계정에 패스워드를 입력하지 않고도 액세스할 수 있다.
이 과정을 통해 벨란과 바라토브는 자신들의 해킹 방법을 실험해 볼 수 있었다. 해커들이 액세스할 수 있었던 계정은 5억 개에 달했지만, 실제로 생성한 쿠키는 약 6,500개 계정이었다. 해킹 당한 사용자 중에는 러시아 내무부 관리, 러시아 체육부에서 일하는 트레이너, 러시아 언론인, 미국 정부 공무원, 스위스 비트코인 업체 직원, 미 항공사 직원 등이 포함되어 있었다.
야후가 2014년 처음 FBI에 연락했을 때는 실험 공격이었고, 해커가 목표로 한 계정은 26개였다. 그리고 2016년 8월에야 해킹의 전체 규모가 드러나고 FBI가 본격적인 수사에 착수했다. 2016년 12월 야후는 해킹 사실을 발표하고 사용자들에게 패스워드를 변경할 것으로 조언했다. editor@itworld.co.kr