2015년은 그야말로 보안의 한 해였다. 주요 사이버 스파이 그룹의 실체가 드러난 사건도 있었고, 역사상 가장 황당한 데이터 유출사고, 터무니없던 안드로이드의 보안 결함, 믿을 수 없을 정도로 바보 같은 두 대형 PC 제조사의 결정 등이 있었다.
2014년이 허트블리드(Heartbleed)와 소니 해킹으로 좋지 못했던 해라고 생각한다면 2015년에 벌어진 대형사건들을 한번 보라. 올해는 역사상 가장 큰 대형 유출사고와 보안 결함이 아주 실제적인 영향을 미친 한 해였다. editor@itworld.co.kr
애슐리 매디슨
데이터 유출은 이제 별로 색다를 것도 없는 사고지만 유출 사고가 사람들을 크게 놀라게 하는 경우가 여전히 생기고 있다. 2015년 8월에 벌어진 애슐리 매디슨(Ashley Madison) 해킹 역시 분명히 그렇다. 해커들은 이 사이트에 침투해 이 불륜 서비스 사용자들의 실명, 신용카드 번호 일부, 집 주소, 전화번호, 심지어 성적 취향을 유출했는데 여기에는 몇몇 연예인, 유명인사, 정치인들까지 포함되어 있다.
불륜을 저지른 성인들만이 그들의 정보가 유출된 것은 아니었다. 아동 전자제품 제조사 V테크(Vtech) 역시 480만 명의 부모와 20만 명의 아이들의 개인정보 유출 사고를 겪었다.
해킹 팀
애슐리 매디슨 소동에 견줄만한 이탈리아의 감시 소프트웨어 제조사 해킹팀(Hacking Team)은 회사 서버에서 400GB분량의 데이터를 조금씩 빼돌린 비밀스런 해커들의 펀치에 쓰러졌다. 이번 사건에는 당황스러운 회사 이메일이나 집주소만 온라인에 유출된 게 아니었다. 해킹팀은 이전까지 알려지지 않은 취약점들을 감춰두고 있었는데 그중에서 온라인까지 오른 플래시와 윈도우의 취약점이 대표적이었다. 이렇게 알려진 취약점들은 어도비와 마이크로소프트로 하여금 신속히 보안 구멍을 수정하도록 만들었다.
아주 수상한 보안
2015년동안 델과 레노버는 셀프 사인 루트 인증서가 들어있는 PC를 배송해 웹 보안에 문제를 일으켰다. 레노보는 2월 슈퍼피쉬(Superfish)라는 소프트웨어가 몇몇 레노버 PC 기종들에서 발견되었을 때 문제가 밝혀졌다. 슈퍼피쉬는 광고 제공을 위해 설계된 것이었지만, 이용자들이 잠재적으로 공공 와이파이 핫스팟 상의 암호화된 커뮤니케이션을 가로채려는 해커들에게도 취약하게 만들었다. 11월 델도 그와 비슷하게 고객 지원 향상을 이유로 루트 인증서를 고객 PC에 더함으로써 비슷한 문제를 일으켰다. 하지만 그 인증서는 PC상에 또한 설치된 상응 사설 키와 함께 해커들이 그들이 원하는 거의 모든 사이트마다 신뢰받는 보안 인증서를 생성하는 게 가능하게 만들었다. 구글 같은 중요 사이트나 심지어 은행 사이트들을 가장해 로그인 정보를 훔치는 훌륭한 툴이다.
모든 것의 암호화, 하지만 백도어는 열려있다
보통 사람들이 그들의 개인 커뮤니케이션을 암호화해야 하는 상황이라면 테러리스트가 이긴 것이다. 이런 생각은 전세계 많은 정치인과 정부 담당자들이 11월 파리의 끔직한 테러 공격 이후 지켜온 관점이다. 특히 미국 내에서 CIA 국장 존 브레넌은 암호화된 커뮤니케이션 서비스의 백도어 부재가 정부가 관심 있어하는 메시지의 암호 해독을 막았다고 불만을 표시했다. 하지만 백도어로 암호화를 취약하게 만들면 유능한 해커와 외국 정부기관 역시 그 똑같은 취약점을 공략할 수 있는 여지를 만드는 게 현실이다.
안드로이드의 스테이지 프라이트
놀라운 보안 구멍 이야기다. 7월 한 보안 연구자가 해커들이 특별히 짜여진 문자메시지를 전송하는 것 만으로 안드로이드 기기에 악성 코드를 실행시키는 스테이지프라이트(Stagefright)라는 놀라운 결함을 발견했다. 피해자들은 문자메시지를 열어서 확인하지 않더라도 그들의 안드로이드 기기가 탈취당하는 것이다. 구글은 이 버그에 대한 패치를 빠르게 배포했지만 거기서 끝나지 않고 8월 더욱 강력한 패치를 배포했는데 10월 또 한번의 스테이지프라이트 관련 취약점들이 등장했다.
닷어니언이 등록되다
토르(Tor) 프로젝트의 히든-사이트 노력은 2014년 페이스북이 자체 닷어니언(.onion) 사이트 개설을 통해 필요했던 페이스북의 지원을 받게 되었다. 이는 결과적으로 페이스북이 토르 프로젝트가 공식적으로 닷어니언 히든 사이트를 인정받고 장래 더 많은 닷어니언 SSL 인증서로 가는 길을 닦음으로써 2015년에 결국 보상으로 돌아오게 되었다.
플래시 충돌
어도비 플래시에 관련된 대형 소식들을 빼고 올 한해 보안을 이야기할 수 있을까? 이전의 사실상 웹-비디오 표준이었던 플래시는 7월 해킹팀 해킹 사건을 통해 이전까지 발견되지 않았던 세 가지 플래시 취약점이 대중에 공개되면서 다시 한번 비판의 중심에 섰다. 그 취약점들은 모질라가 임시적으로 파이어폭스상의 모든 버전의 플래시 플레이어 플러그임을 차단하도록 만들었다. 페이스북의 최고 보안 책임자 알렉스 스타모스 역시 어도비에게 플래시 플레이어 종료를 촉구했다.
심지어 어도비가 플래시를 없애지 않더라도 웹이 그렇게 할 것이다. 올해 몇몇 사이트들이 플래시를 없앴다: 아마존은 광고에서 플래시를 뺐고, 트위치는 플래시를 버리고 HTML 5를 선택했고, 올해 초에는 유튜브가 플래시 대신 HTML5를 표준으로 전환시켰다.
이큐에이션 그룹
지난 2월 카스퍼스키 랩(Kaspersky Lab)의 보안 연구자들은 이란과 러시아 등지 국가의 컴퓨터에 침투해왔던 이큐에이션 그룹(Equation Group)이라는 고도의 사이버 스파이 그룹을 밝혀냈다. 카스퍼스키는 이큐에이션을 미국 정부와 연결 짓지는 않았지만 그 관련성을 암시했다. 이큐에이션 그룹은 PC의 하드드라이브를 물리적으로 제거해야만 제거가 가능한 지속 말웨어 유형을 포함한 엄청난 능력을 가지고 있었다. 이큐에이션 그룹은 카스퍼스키가 다시 한번 7월 두쿠(Duqu)라는 더욱 고도화된 그룹을 발견하기 전까지 가장 세련된 사이버 스파이 그룹으로 불렸다.
라스트패스 유출
브라우저 기반의 암호 관리자 라스트패스(LastPass)는 해커들이 이 회사의 네트워크에 침투해 계정 이메일 주소, 암호 리마인더, 유저 솔트당 서버, 인증 해시 등의 정보를 훔쳐낸 지난 6월 대형 유출사고와 씨름했다. 라스트패스의 보안 설계덕분에 강력한 마스터 암호를 사용한 이용자들의 데이터는 해커들의 데이터 암호 해제로부터 안전하게 유지되었다고 회사측은 이야기한다. 하지만 더 약한 암호를 썼던 이용자들은 여전히 취약했다. 안전하게 하기 위해 라스트패스는 모든 이용자들에게 그들의 마스터 암호 교체를 주문했다. 그리고 인식되지 않은 IP 주소로부터 접속하는 모든 이들은 그들의 첫 해킹 이후 로그인을 이메일이나 이중인증 코드로 입증해야 했다.
토르 해킹
11월 토르 프로젝트는 깜짝 놀랄만한 주장을 들고나왔다. 그들은 미국 FBI가 토르 네트워크상 이용자들의 신원을 드러내기 위해 카네기 멜론(Carnegie Mellon) 조사원들에게 최소 100만 달러를 지불했다고 이야기했다. 토르는 이런 이용자 가면 벗기기의 초점이 범죄자들을 찾기 위한 것이라고 말하지만 일반 사용자들 역시 그 수사망 안에 들어 있었다고 이야기한다. FBI와 카네기 멜론 모두 그런 주장을 부인했지만 토르의 의심 일부는 거의 사실에 가깝다는 점은 인정했다. 흥미롭게도 카네기 멜론 조사원들은 2014년 토르 이용자들의 가면 벗기는 방법에 대해 블랙 햇 보안 컨퍼런스에서 강연을 하기로 예정되어 있었다. 그 강연은 아직까지도 불명확한 이유로 컨퍼런스에서 갑작스럽게 취소된 역사가 있다.