보안 / 프라이버시

2016년 7건의 대형 사이버 보안 사고를 통해 얻은 교훈

Tim Greene  | Network World 2016.12.19
러시아의 미국 민주당 이메일 해킹에서부터 인터넷 카메라와 DVR의 DDoS 공격에 이르기까지, 올해 헤드라인은 사이버 사건 사고들이 독차지했다. 이제 인터넷에서는 아무것도 믿을 수 없다는 인식이 팽배하다.



일련의 사건을 통해 드러난 사실은 기술적인 결함이 있었다는 점, 기업들이 보안 규칙을 따르지 않았다는 점이다. 이 두 가지에 대해 미리 신경을 썼다면 사건 발생을 일부라도 막을 수 있었다.

가장 중요한 교훈은 사이버 보안이 어느 쪽도 장시간 우위를 점하지 못하는 끊임없는 전쟁이며, 지속적인 사후 분석을 통해 데이터와 통신을 안전하게 지키기 위해 취해야 할 다음 조치를 알아내야 한다는 것이다. 7건의 보안 사고와 그 사고가 준 교훈을 돌아보자.

DNC 해킹
미국 민주당 전국 위원회의 이메일 도난 사건이 발생한 후 민주당 대통령 후보 힐러리 클린턴을 지지했던 사람들 가운데 상당수가 클린턴에게서 등을 돌렸고, 러시아가 공화당의 도널드 트럼프에게 유리하도록 선거 개입을 시도했다는 정황까지 드러났다.

미국 정보 당국은 이 해킹이 러시아 해커의 소행이며 러시아 고위 정부 관계자가 연루되었을 가능성이 높다고 밝혔다. 그러나 트럼프는 러시아의 연루 자체를 일축했다.

버락 오바마 대통령은 다음 달 퇴임 전에 이 사건에 대한 보고서를 제출하도록 지시했지만 이 유출 사건의 진정한 본질과 그 영향은 명확히 밝혀지지 않을 가능성이 높고, 밝혀진다 해도 상당한 시간이 걸릴 것이다.

명확한 증거를 확보해서 공격 집단을 특정하기는 일반적으로 어려운 일이다. 보안업체 연구원들은 공격 전략과 방법을 근거로 러시아 조직인 코지 베어(Cozy Bear)와 팬시 베어(Fancy Bear)를 지목했지만 러시아 정부까지 이어지는 확실한 연결 고리는 없다.

이 사고가 보여주는 것은 정치적 목적의 공격이 흔적을 남기지 않고, 효과적으로 수행될 수 있다는 사실이다.

이 공격으로 외국 정부가 다른 국가의 선거에 영향을 미칠 수 있다는 것이 드러났다. 후보자와 각 정당은 공격자가 누구든 향후 이와 같은 종류의 공격을 피하려면 네트워크 보안에 더욱 주의를 기울여야 한다.

딘(Dyn) DDoS 공격
대형 DNS 서비스 업체인 딘을 상대로 한 이 대규모 DDoS 공격의 여파는 엄청났다. 아마 공격자도 이 정도는 예상하지 못했을 것이다. 주목할 점은 수천, 수만의 사물인터넷(IoT) 기기들이 이 공격에 봇넷으로 동원됐다는 사실이다. 10월 21일, 여러 곳의 딘 데이터센터를 집중적으로 노린 세 차례의 트래픽 공격이 딘을 강타했다.

딘 서버에 과부하가 걸리자 DNS 요청이 장시간 응답을 받지 못했고, 결과적으로 DNS를 요청하는 기기들(정상적인 기기와 봇 모두)이 후속 요청을 보내면서 트래픽 과부하를 더욱 가중시켰다.

딘은 아마존, 엣시(Etsy), 깃허브(GitHub), 쇼피파이(Shopify), 트위터와 같은 주요 고객에게 서비스를 제공하므로 이 고객 사이트를 향하던 트래픽이 주소를 찾지 못하는 상황이 발생했다. 피해 사이트들이 워낙 대규모인 만큼 인터넷 자체가 다운됐다고 생각한 사람들도 있었다.

기업에게 이 사고가 주는 교훈은 하나가 다운되더라도 백업이 가능하도록 DNS 제공업체를 이중화, 삼중화해야 한다는 것이다. 또한 DNS 서버의 TTL(Time To Life) 설정을 낮춰서 이와 같은 공격이 발생하더라도 트래픽을 신속하게 백업 DNS 제공업체로 돌릴 수 있도록 해야 한다.

파나마 페이퍼(Panama Papers)
파나마에 소재한 로펌 모색 폰세카(Mossack Fonseca)에서 무려 2.6TB의 데이터가 도난당했다. 도난된 정보의 분량 자체만으로도 큰 유출 사건이었다. 게다가 이 데이터에는 70명의 전현직 전세계 정치인들이 해외 계좌를 통해 조세 당국의 눈을 피해 수입을 숨긴 방법이 자세히 포함되어 있어 사건의 파장은 더욱 커지고 있다.

이 스캔들로 인해 아이슬란드 총리가 사퇴했고 영국, 프랑스, 오스트리아, 한국, 파키스탄 정부는 민심의 분노에 직면했다.

유출한 범인은 밝혀지지 않았지만 이 로펌의 네트워크를 조사하던 연구원들은 최신 상태로 업데이트되지 않은, 취약점이 포함된 여러 애플리케이션과 플러그인을 발견했다.

네트워크 설계 담당자들은 최소 관리자 권한 원칙을 지키지 않았다. 관리자가 업무를 수행하는 데 필요한 최소한의 시스템에만 접근할 수 있는 상태였다면 인증 정보 하나의 해킹으로 그렇게 광범위하게 시스템이 노출되는 일은 없었을 것이다.

야후 해킹
9월 22일 야후가 5억 개의 계정이 해킹됐음을 발표했다. 사상 최대의 해킹 규모였다. 게다가 유출이 발생한 시점이 2014년이라는 사실이 밝혀지면서 사건의 충격파는 더욱 커졌다.

이렇게 많은 계정이 그렇게 오랜 기간 동안 취약한 상태로 방치된 데 따른 영향은 가늠조차 하기 어렵고 48억 달러 규모의 버라이즌의 야후 인수도 혼란에 빠졌다. 이 인수는 아직도 완료되지 않았는데, 버라이즌은 이 해킹이 야후의 가치에 영향을 미친 만큼 인수 가격에서 10억 달러를 깎아야 한다는 입장인 것으로 전해진다.

이 사건이 소비자에게 주는 교훈은 모든 계정에 강력하고 고유한 비밀번호를 사용하고 주기적으로 그 비밀번호를 바꿔야 한다는 것이다.

언젠가 침해 사건을 대중에 설명해야 할 입장에 처할 수 있는 기업 및 기타 법인에게도 교훈은 있다. 문제를 숨기지 말고, 어떤 문제가 발생했는지, 그 문제를 해결하기 위해 어떤 조치를 취했는지에 대해 사실대로 밝혀야 한다는 것이다. 또한 이런 침해를 보다 신속하게 파악할 수 있는 탐지 플랫폼을 도입해야 한다.

NSA 섀도우 브로커 유출
신원미상의 회원들로 구성된 해킹 그룹 섀도우 브로커(Shadow Brokers)는 마찬가지로 수수께끼에 쌓인 조직 이퀘이전 그룹(Equation Group)으로부터 해킹 도구를 훔쳐 이를 팔기 위해 매물로 올렸다.

중요한 점은 이퀘이전 그룹이 NSA와 연결된 조직일 가능성이 있다는 것, 그리고 섀도우 브로커는 러시아와 연결되었을 가능성이 있다는 것이다. NSA가 사용하는 도구를 노출시켜 NSA를 교란시키고, 러시아 배후설이 제기되는 미국 민주당 전국 위원회 해킹에 대해 미국이 러시아를 상대로 취할 수 있는 대응 조치를 약화시키기 위한 러시아의 계획적 해킹이라는 주장도 있다.

그렇게 보면 이 도구의 판매 광고는 NSA에 더 큰 타격을 가하기 위해 더 많은 사람들의 주목을 끌 목적으로 제작되었을 수도 있다. 이 도구는 특정 벤더가 만든 특정 기기에 대해 작동하며 만들어진 시기도 수년 전인 것으로 밝혀졌는데, 부주의한 운영자가 방치한 NSA 서버 한 대에서 탈취된 것으로 추측되고 있다.

중요한 점은 러시아 그룹이 NSA 서버를 해킹해 사이버 스파이 도구를 입수했다는 것이다.

6,500만 달러의 비트코인 해킹
8월 2일 비트코인 거래 플랫폼인 비트파이넥스(Bitfinex)가 해킹되면서 12만 비트코인이 도난당했다. 뚫기가 불가능하다고 알려졌던 비트파이넥스의 3중 키 교환 아키텍처를 무력화한 공격이었다.

비트코인 도난 사건으로는 역대 세 번째로 큰 규모지만 비트파이넥스는 비트코인을 미화 달러로 환전하는 플랫폼 중에서 가장 규모가 큰 만큼 그 파장은 상당했다. 비트파이넥스는 손실을 모든 고객의 계정으로 분산시켰고 그 결과 각 계정당 36%의 손실을 입었다.

한편 비트파이넥스는 두 가지 요소가 필요한 복합 인증을 키 교환에 사용했다. 두 요소 가운데 하나는 비트파이넥스가, 다른 하나는 보안 파트너인 비트고(BitGo)가 보유했으므로 이론적으로는 극히 안전한 시스템이었다. 이 키 교환 시스템을 구축할 당시 비트파이넥스는 누군가 돈을 훔치려면 두 회사에 모두 침투해야 할 것이라고 말했다. 그러나 비트고 측은 자사 시스템은 침투되지 않았다고 주장한다.

교훈은 가장 정교한 비트코인 키 교환 시스템도 해킹될 수 있으며 따라서 비트코인을 사용하는 개인과 조직은 이러한 위험에의 노출을 최소화할 대책을 수립해야 한다는 것이다.

랜섬웨어 대 헬스케어
올해 헬스케어 기관을 상대로 10여 건의 랜섬웨어 사건이 발생했다. 랜섬웨어가 쉽고 수익성도 좋은 수법이라는 점, 그리고 범죄자들이 공격 목표를 선택할 때 상당히 주도면밀하다는 점이 드러났다.

공격을 당한 많은 헬스케어 제공업체는 공격을 받은 이후 신속하게 복구할 수 있는 백업이나 기타 수단이 없었기 때문에 몸값을 지불할 수밖에 없었다. 몸값을 지불한 업체 중 여러 업체가 동일한 공격자에게서 나중에 또 다시 공격을 받았다.

비교적 간단히 피해 기업을 감염시키고 돈을 갈취할 수 있는 한 랜섬웨어 사고는 앞으로도 계속 이어질 가능성이 높다. 인터넷 지하세계에서는 서비스 형태의 랜섬웨어(Ransomware as a service)까지 등장하며 소비자뿐만 아니라 대기업들에게도 위협이 되고 있다.

랜섬웨어 공격이 난무하는 만큼 분야를 막론하고 기업은 랜섬웨어에 의해 암호화된 시스템을 복구할 수 있는 안정적이고 안전한 백업을 보유해야 한다. 또한 이러한 감염을 조기에 탐지 및 격리해서 피해를 최소화하는 시스템도 구축해야 한다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.