FBI
미 법무부, 랜섬웨어 그룹 레빌 관련 2명 기소 및 612만 달러 압류
랜섬웨어 공격집단 소디노키비(Sodinokibi)/레빌(REvil)에 대한 미국 백악관 랜섬웨어 이니셔티브의 조사가 결실을 맺었다. 미국 법무부는 지난 8일 소디노키비/레빌 관련자 야노슬라프 바신스키와 예브게니 폴리아닌을 기소하고 612만 달러를 압류했다. 미국 법무부와 FBI, 재무부에 따르면, 폴란드 정부는 미국 정부의 요청에 따라 바신스키를 체포했다. 미국 법무부는 랜섬웨어 및 디지털 갈취 태스크포스(Ransomware and Digital Extortion Task Force)의 수사로 바신스키를 체포할 수 있었다고 밝혔다. 특히 마이크로소프트와 맥아피, 비트디펜더 등 민간 기업도 수사에 실질적인 역할을 했다. 러시아 국적의 폴리아닌은 아직 체포되지 않았다. 다만 텍사스 북부 지방 법원 판사 레베카 러더퍼드가 발부한 ‘재산권 확보’ 영장에 따라 미국 정부는 지난 9월 10일 폴리아닌의 가상통화 거래소 FTX 계정에서 612만 3,652달러를 압류했다. 바신스키는 지난 10월 8일 우크라이나에서 폴란드로 이동한 후 체포됐으며, 아직 폴란드에 구금되어 있다. 미국과의 범인 인도 조약에 따라 곧 미국으로 송환될 예정이다. 지난 11월 4일에도 레빌 관련자 두 명이 루마니아에서 체포되었으나 아직 정확한 신원은 공개되지 않았다. FBI 국장 크리스포터 레이는 “야노슬라프 바신스키의 체포와 예브게니 폴리아닌에 대한 고소 및 610만 달러 압류, 추가 관련자 2명 체포는 국제적인 공조와 미국 정부, 특히 민간 기업과의 협력으로 이뤄낸 성과다. FBI는 사이버 범죄자에 대응하기 위해 창의인 방법으로 거침없이 수사를 진행했다. 레빌과 같은 랜섬웨어 공격집단은 국민의 안전과 경제 복지에 심각하고 용납할 수 없는 위험을 끼친다. FBI는 사이버 공격 단체의 움직임과 조력자, 인프라, 자금 등을 계속해서 추적할 예정이다”라고 밝혔다. 바신스키가 우크라이나에서 폴란드로 이동한 이유를 묻자 레이는 “개인은 다양한 이유로 여행을 한다. FBI는 바신스키가 ...
레빌
FBI
랜섬웨어
글로벌 칼럼 | 레빌 랜섬웨어 해독키를 공개하지 않았던 FBI의 속사정
미국 연방수사국(FBI)이 러시아 기반 랜섬웨어 그룹 레빌(REvil)의 키를 보유하고 있었던 것으로 밝혀졌다. 사이버범죄자가 피해 기업의 데이터를 암호화하고 돈을 요구했음에도 FBI는 3주 동안 해독키를 공개하지 않았다. FBI는 어떤 의도로 레빌 랜섬웨어의 해독키를 감췄던 것일까. FBI가 보호하려던 것은 무엇일까. 22일(현지시간) 워싱턴 포스트의 보도에 따르면, FBI는 레빌 랜섬웨어의 해독키를 공개하기 3주 전에 이미 키를 비밀리에 입수했다. FBI 국장 크리스토퍼 레이는 최근 미국 의회 청문회에서 해독키 공개가 늦어진 이유에 대해 다른 기관 및 동맹국과의 협력 때문이라고 언급했다. 레이는 “미국 단독으로 결정하지 않고 공동으로 한다. 영향력을 최대로 이끌어내기 위한 굉장히 복잡한 의사결정 과정이며, 미국 뿐만 아니라 전 세계 자원을 모아야 하는 상황에서 적에게 대응하는 것은 시간이 걸린다”라고 말했다. 레이의 말에서 유추할 수 있는 것은 FBI가 해독키를 가지고 있었다는 사실이다. FBI는 ‘비밀리에 입수한’ 키를 어떤 기관이나 동맹국으로부터 받았는지 밝히지는 않았다. 다만 제3자 원칙(The Third-Party Doctrine)에 따라 ‘레빌을 잡기 위한’ 첩보 활동을 진행하는 데 활용했다. 제3자 원칙은 자발적으로 넘긴 정보에 대해서 수사기관이 영장 없이 수색하는 것을 허용한 미국 대법원 판례다. 싱크탱크인 실베라도 폴리시 액셀러레이터(Silverado Policy Accelerator) 회장 드미트리 알페로비치는 지난 21일 뉴욕타임즈 기고를 통해 “미국은 랜섬웨어의 인질이 됐다. 이제 반격해야 할 때”라며, 바이든 행정부에 외교와 방어 능력의 확대라는 두 가지 접근법을 제시했다. 알페로비치는 특히 레빌처럼 러시아나 북한, 이란에 기반을 둔 ‘강력한 랜섬웨어 그룹’에 대항하기 위해서는 공격력이 필요하다고 주장했다. 그는 “미국이 필요한 것은 랜섬웨어 단체의 기반이 되는 인력, 인프라, 자금을 겨냥한 공격적인 작전이다”라고...
레빌
랜섬웨어
FBI
FBI, 콜로니얼 파이프라인 랜섬웨어 공격자 암호화폐 지갑 230만 달러 압수
FBI가 콜로니얼 파이프라인 랜섬웨어 공격에 사용된 암호화폐 지갑 230만 달러어치를 압류한 것으로 알려졌다. 이번 압수는 다른 피해자들이 사법당국과 더 잘 협력하도록 장려하는 한편, 랜섬웨어 공격자의 운영을 더 힘들게 만들 수 있다. 지난 6월 7일 미 법무부는 콜로니얼 파이프라인(Colonial Pipeline)이 다크사이드(DarkSide) 랜섬웨어 공격자에게 5월 8일 지불한 금액의 일부로 추정되는 약 230만 달러 상당의 63.7 비트코인을 압수했다고 발표했다. 콜로니얼 파이프라인은 5월 7일 회사가 발표한 심각한 랜섬웨어 공격 이후 시스템의 전체 지능을 복원하기 위해 총 440만 달러의 비트코인 몸값을 사이버 범죄자에게 지불했다고 시인했다. 미 캘리포니아 북부지방 검찰청 특별검사부와 자산 몰수 부서(Asset Forfeiture Unit)는 캘리포니아 북부지방법원 치안판사가 압수수색 영장을 승인하자 곧바로 비트코인 지갑을 압수했다. 다크사이드 공격자는 지난 5월 중순, 결제 서버 등 일부 서버에 대한 통제력을 상실하고 미국의 ‘압박’으로 폐쇄한다고 발표한 바 있다. 이를 감안한다면 지갑 압수 소식은 그리 놀랄 일은 아니다. 당시 다크사이드는 자금의 일부가 미지의 계좌로 인출됐다고 진술했다. '돈의 흐름을 쫓아라'라는 수사 격언은 여전히 작동 미 법무부 법무차관 리사 모나코는 언론 브리핑에서 “‘돈의 흐름을 쫓아라’라는 옛 격언이 여전히 적용된다”라고 말했다. 콜로니얼 파이프라인이 사법당국에 신속하게 통보한 후, 7일 새벽 미국 캘리포니아 북부지방 법원에서 발부한 압수 수색 영장에 따라 법무부는 몸값의 대부분을 찾아 냈다. 콜로니얼은 지난달 랜섬웨어 공격의 여파로 다크사이드 네트워크에 돈을 지불했다. 지갑의 표적 압수는 특히 석유 및 가스 파이프라인과 같은 매우 중요한 기반 시설을 대상으로 하는 점점 더 파괴적인 랜섬웨어 공격을 약화시키는 것을 목표로 한...
FBI
콜로니얼
랜섬웨어
FBI, 해킹당한 익스체인지 서버에서 백도어 웹 셸 정리…이례적 능동적 방어 조치
FBI는 올해 초 제로데이(Zero-day) 취약점을 통해 해킹 당한 수백 대의 민간 마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 백도어 프로그램을 제거할 수 있는 법원 명령을 확보했다. 이는 FBI가 전통적인 조사 역할을 벗어나 사이버 위협 대응에 있어서 좀 더 능동적인 접근방식을 취할 준비가 되었음을 보여주지만 이런 조치의 한계가 어디까지인지에 대한 궁금증을 자아내고 있다. FBI가 익스체인지 서버를 정리에 나선 이유는 최근 미 법무부는 텍사스 주법원이 FBI가 민간 기업이 소유한 수백 대의 온프레미스 마이크로소프트 익스체인지 서버에서 웹 셸(web shells)을 복사하고 삭제할 수 있는 조사 및 압수 영장을 발부했다고 발표했다. 웹 셸은 해커가 해킹된 웹 서버에 설치하여 웹 기반 인터페이스를 통해 백도어 접근과 서버에서의 원격 명령 실행 능력을 제공하는 프로그램이다. 해당 영장의 대상은 중국 정부와 관련성이 있을 것으로 보이는 하프니움(Hafnium)이라는 사이버 첩보 그룹이 설치한 웹 셸이다. 3월 초, 마이크로소프트는 하프니움이 이전에 패치되지 않은 마이크로소프트 익스체인지의 취약점을 악용해 서버를 해킹했다고 보고했다. 이와 동시에 마이크로소프트는 이런 취약점에 대한 패치뿐만 아니라 해킹의 조짐과 기타 탐지 도구를 함께 공개했지만 그 이후에도 다른 공격자 그룹이 해당 취약점을 악용했다. 4월 13일자 영장 청구에서 FBI는 마이크로소프트, CISA, FBI의 대중 인식 캠페인에도 불구하고 여전히 많은 서버가 하프니움이 배포한 웹 셸에 감염되어 있다고 주장했다. 공개된 영장에서 정확한 숫자는 삭제되었지만 미국 법무부는 언론보도에서 ‘수백 대’라고 밝혔다. 이번 영장으로 FBI가 할 수 있는 일 FBI는 본래 공격자가 설정한 비밀번호를 통해 악성 웹 셸에 접근한 후 서버에 배포된 .aspx 스크립트인 웹 셸을 삭제하기 위해 법원에 명령을 요청했으며, 법원은 이를 승인했다. ...
FBI
해킹
백도어
"사이버보안의 중심 허브 역할 맡는다" 미국 FBI, 새로운 전략 발표
미국 FBI와 CISA(Cybersecurity and Infrastructure Security Agency)는 2020년 미국 대통령 선거를 앞두고 외국 정부의 지원을 받는 온라인 매체가 잘못된 정보를 퍼뜨리면서 미칠 잠재적 위협에 대해 공동 발표를 했다. 미 정부를 기반으로 대중의 보안 인식을 높이기 위한 이번 발표는 FBI가 미 연방 기관과 파트너와 협력해 미국 국민과 동맹국을 사이버 위협으로부터 더 잘 보호하기 위한 새로운 전략 방향을 반영하고 있다. FBI 사이버부서 부국장 토냐 우고레츠는 FBI의 새로운 전략을 선보이기 위해 개최한 오번대학교의 맥클레리 연구소(McCrary Institute)에서 열린 컨퍼런스에서 “FBI의 최대 관심사는 글로벌 인프라를 사용해 미국 네트워크를 위태롭게 하는 복잡한 위협 환경”이라고 말했다. 우고레츠는 FBI가 사이버 위협을 대처할 때, 현재 조정해야 하는 여러 요소들을 설명했다. 코로나19 위기로 인한 광범위한 재택 근무로 공격 표면 증가 공격 표면이 넓을수록 취약점은 증가하고 이를 악용하려는 공격자의 의지 증대 공격자가 공격을 시작하는데 사용하는 도구의 가용성 증가 범죄자와 국가 주도 위협 행위자 수 증가 위협 복잡성이 증가할수록 더 많은 협력 필요 우고레츠는 이런 모든 추세는 사이버 공격자가 숨으려고 하는 곳을 밝혀내기 위해 국내외적으로 많은 협력이 필요함을 시사하고 특히 주요 인프라 소유자와 운영자의 협력을 강조했다. 새로운 전략의 목표는 FBI가 미국의 모든 정부와 외국 기관과 민간 부문 파트너를 위한 중앙 허브 역할을 하는 것이다. 우고레츠는 “이런 모든 관계가 사이버위협에 대한 전반적인 싸움을 강화하는데 필수적임을 확실히 하고 지원도 아끼지 않을 것이다”라고 밝혔다. FBI 사이버 부서 부국장이자 수사 및 운영을 담당하는 맷 고햄은 “어떤 정부 기관도 이 문...
사이버보안
FBI
“피해 규모는 더 커지고, 잡기는 더 어렵다” 전문가가 전하는 랜섬웨어의 현주소
랜섬웨어는 디지털 네트워크의 가장 고질적이고 일반적인 위협이 됐다. 사이버보안 보험금 청구 건수의 41%가 랜섬웨어 공격에서 나오는 지금, 랜섬웨어가 보안 전문가, 정부 관계자, 법 집행 전문가에게 최우선이라는 사실은 놀랍지 않다. NCSC(National Cyber Security Center)의 최고 전략 책임자인 마크 웨더포드는 의회 관계자, 싱크탱크, 언론을 대상으로 국가적 난제에 대한 인식 고취 및 교육을 제공하는 제3회 연례 ‘핵 더 캐피톨(Hack the Capitol)’ 행사에서 참석자에게 “랜섬웨어는 더욱 심각해질 것이다. 안타깝지만 거의 완벽한 범죄다. 성공하기 쉽고 잡아내기도 거의 불가능하다”라고 말했다. 대규모 랜섬웨어 사건이 미디어에서 다뤄지는 가운데, 웨더포드는 소규모 기업의 랜섬웨어 피해에 대해 우려를 표했다. 그는 “중소기업은 그들이 속한 위협 환경을 이해할 수 있는 리소스나 기술적 인사이트가 없다”고 지적했다. 랜섬웨어 공격으로 인한 피해가 불가피해 보일 때도 있다. 웨더포드는 “기업에서 일하고 있는 주변의 많은 친구들은 대규모 랜섬웨어 공격에 당했을 때, 말 그대로 아무런 대책 없이 손을 놓고 있었다”고 밝혔다. 더욱 악화되는 랜섬웨어 미 국토안보부(Department of Homeland Security, DHS) 사이버·인프라보안국(Cyber and Infrastructure Serurity Agency, CISA)의 최고 사이버 위협 애널리스트인 렉스 부스는 CISA의 연례 사이버서밋(Cybersummit)에서 “랜섬웨어는 정말 심각한 문제다. 가장 흥미로운 유형의 공격은 아닐지도 모른다. 항상 가장 정교하지 않을 수도 있다. 때로는 솔직히 쉽게 예방할 수 있다”고 말했다. 이어 “랜섬웨어로 피해를 받고 있다면, 이보다 더 큰 문제는 없다. 정말 심각한 문제다. 데이터에 액세스할 수 없고, 시스템을 사용할 수도 없다. 복구할 수 있을지도 몰라 혼란스럽다”고 설명했다. ...
랜섬웨어
FBI
보안
"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS
미 연방수사국(FBI)과 미 국토안보부(DHS)는 북한 정부와 연계된 해커들이 시스템에 원격으로 침투해 비밀번호와 기타 민감한 데이터를 훔치는 데 사용하는 두 가지 종류의 악성코드에 대한 기술적인 경고를 세부적으로 발표했다. 이 두 가지 악성코드는 원격 접속 도구(RAT)인 조냅(Joanap)과 서버 메시지 블록(SMB) 웜인 브램블(Brambul)이다. 이들 악성코드는 북한 정부의 악의적인 사이버 작전에 대해 미국 정부가 이름붙인 히든 코브라(Hidden Cobra)의 도구로 사용됐던 것으로 알려졌다. 미국 정부는 히든 코브라의 공격자들이 지난 2009년부터 악성코드를 사용해 왔다고 주장해왔다. 이번 경고는 지난 2014년 소니 픽처스 엔터테인먼트의 사이버 공격과 관련 히든 코브라 범죄자들을 비난하는 내용을 담았던 보고서 내용도 인용했다. 또한 1년 전, 전 세계에 확산됐던 파괴적인 특징의 워너크라이(WannaCry) 악성코드 공격에도 이 조직이 가담했다는 비난이 있었다. 미국 침해사고 대응팀(US-CERT)의 기술 자문은 다음과 같다. 신뢰할 수 있는 제 3자의 보고에 따르면, 히든 코브라에 가담한 사람들은 적어도 2009년부터 언론, 항공 우주, 금융 및 핵심 인프라 부문을 포함해 미국을 비롯 전 세계의 다양한 피해자들을 겨냥해 조냅과 브램블 악성코드를 사용해 왔다. 조냅 RAT 2단계 악성코드인 조냅은 히든 코브라 해커가 "데이터 추출, 2차 페이로드 삭제 및 실행, 손상된 윈도우 장치에서의 프록시 통신 초기화" 명령 등을 원격으로 실행할 수 있는 완전한 기능의 RAT다. 이번 경고에 언급된 다른 조냅 기능에는 "파일 관리, 프로세스 관리, 디렉토리 생성 및 삭제, 노드 관리" 등이 포함돼 있다. 조냅은 피해자가 손상된 사이트에서 무의식적으로 파일을 다운로드하거나 악의적으로 심어 놓은 이메일 첨부 파일을 열어 볼 경우, 다른 악성 프로그램을 통해 삭제한 파일 형태로도 시스템을 감...
악성코드
북한
FBI
"러시아 악성코드를 막으려면 공유기를 재부팅하라"…미 FBI
미국 연방수사국(FBI)은 가정이나 소규모 사무실에 공유기(router)가 있는 경우 러시아와 연계된 악성코드인 VPN필터(VPNFilter)에 대비해 재부팅할 것을 제안했다. Credit: Getty Images Bank 공유기를 재부팅하는 것은 그리 오랜 시간이 걸리지도 않고 결론적으로도 가치가 있다. 정보를 훔치고 공유기의 작동을 방해하는 등 모든 것을 할 수 있는 팬시 베어(Fancy Bear) 연계 악성코드에 대처하는, 일반 사용자가 할 수 있는 최대한의 활동이다. VPN 필터는 현재까지 54개국에서 최소 50만 개의 소호(SOHO)용 공유기를 감염시킨 악성코드다. 이 악성코드는 러시아 군사 정보기관의 지원을 받는 정교한 사이버 스파이 해킹 그룹인 소파시 그룹(Sofacy Group)과 연계돼 있는데, 이는 일명 팬시 베어와 APT28로도 알려져 있다. FBI, 미국 국토안보부(DHS), 미국 법무부(DoJ) 등 3대 기관의 조사에 따르면, VPN필터는 수개월 동안 수십만 개의 소호용 공유기뿐만 아니라 네트워크에 부착해 사용하는 스토리지인 NAS 장치도 감염시킨 것으로 알려졌다. 5월 23일 수요일, 시스코 탈로스(Cisco Talos)는 감염된 것으로 추산되는 기기 수는 "적어도 54개국에서 최소 50만 개다. VPN필터의 영향을 받은 것으로 알려진 장치로는 큐냅(QNAP) NAS 장치뿐만 아니라 가정이나 소규모 사무실에서 사용되는 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(NETGEAR), 티피링크(TP-Link)의 공유기 장비가 있다"고 경고했다. 탈로스의 보안 연구원은 "악성코드는 감염된 기기를 사용할 수 없게 만드는 파괴적인 기능을 가지고 있으며 이는 개별 피해 시스템이나 더 큰 규모로 유도할 수 있다. 전 세계 수십만 명의 피해자에 대한 인터넷 접근을 차단할 가능성이 있다"고 설명했다. 탈로스는 시스코 장치가 취약점을 갖고 있다는 점이 관찰되지...
러시아
Router
FBI
3만 달러 보석내고 풀려난 워너크라이 영웅, 크로노스 악성코드 혐의 부인
인터넷에서 영웅이 된 마커스 허친스가 미국에 와서 체포됐다. 데프콘이 끝난 후, 미국 FBI는 영국 출신의 보안 연구원인 마커스 허친스를 체포했다. 이는 보안 커뮤니티를 송두리째 흔드는 사건이다. 일명 멀웨어테크(MalwareTech)라는 별명을 가진 허친스는 뱅킹 트로이목마인 크로노스를 만든 혐의로 8월 2일 체포됐다. 올해 초, 허친스는 워너크라이 랜섬웨어 킬 스위치(kill switch)를 찾아 제보하면서 인터넷에서 영웅이 됐다. 그의 보석금은 3만 달러로 책정됐지만 주말동안 감옥에서 보냈다. 이는 금요일 시청이 문을 닫기 전까지 보석금을 낼만한 시간이 충분치 않았기 때문이다. 7일 석방된 허친스는 GPS 모니터링 아래 미국에 남아 위스콘신 주에서 총 6건의 소송에 직면해 있다. 허친스는 크로노스 악성코드를 만들어 판 혐의를 받고 있다. 그는 컴퓨터 사용이 허용되지 않으며, 인터넷에 접속할 수 없다. 미국 검찰은 2014년 7월에서 2015년 사이에 허친스가 크로노스 악성코드를 제작, 광고, 배포, 그리고 수익을 창출했다고 주장했다. 다른 피고인도 기소장에 이름을 올렸지만, 그 이름은 수정됐고, 아직 검거되지 않았다. 공동 피고인은 크로노스를 다크넷 시장인 알파베이(AlphaBay)에서 판매한다고 홍보했다. 미국 검찰은 크로노스를 보여준 한 동영상에서 공동 피고인이 이 트로이목마를 3,000달러에 팔기 위해 웹사이트에 공개적으로 게시했다고 밝혔다. 검찰은 잠복요원이 비밀리에 허친스와 그의 공범자로부터 해당 코드를 2,000달러에 구매했다고 라스베가스 법원에 전했다. 미국 검사 댄 카우힉은 허친스가 경찰 조사에서 자백했다고 말했다. 카우힉은 "허친스는 크로노스 악성코드 저작자임을 인정하고 판매한 것을 시인했다"고 밝혔다. 미 검찰은 허친스가 해당 판매로 인한 수익금을 제대로 분배하지 못한 점을 불평하는 채팅 기록을 갖고 있다고 주장했다. 또한 검찰은 허친스가 공공에게 끼치는 위험을 제기하고 ...
악성코드
체포
FBI
FBI, 러시아 해커의 미 대선 개입 의혹에 트럼프 대통령 조사 포함
FBI 국장 제임스 코미는 미국 FBI가 2016 미 대통령 선거에 대한 러시아 측의 개입 여부, 그리고 그 과정에 도널드 트럼프 대통령의 당시 캠페인 본부의 협조가 있었다는 의혹에 관한 조사를 진행하고 있다고 공식 발표했다. 조사 진행에 관한 소문은 이전부터 곳곳에서 흘러 나왔지만, 이에 대한 FBI 측의 공식 확인을 받은 것은 이번 코미 국장의 발표가 처음이다. 미 하원 정보 위원회에 참석한 코미 국장은 "FBI가 현재 진행 중인 수사에 대해 발표하는 것은 이례적인 일이지만, 해당 내용은 러시아가 미국 대선을 표적으로 한 활동을 벌였다는 매우 '특수한' 상황이다"고 공개 이유를 설명했다. 코미는 조사 내용에 대한 자세한 언급은 피하면서도 트럼프 캠페인 본부와 러시아 정부 간의 접촉, 협조 가능성에 대한 의혹이 조사 대상에 포함되어 있다는 사실은 인정했다. 코미는 "트럼프 캠페인 캠프와 러시아 정부 간의 '연결고리'를 조사 중이다"고 말했다. 이들 기관은 2016년 대선 시즌 러시아 측이 민주당 선거운동 지휘본부와 힐러리 클린턴 민주당 대선 후보의 공식 캠페인 본부를 대상으로 해킹 공격을 벌여 후보 및 선거 관련 이메일들을 탈취했고, 그것을 위키리크스(WikiLeaks)를 비롯한 웹사이트들에 배포했다는 혐의를 조사하고 있다. 또한 청문회 현장에서 코미 국장은 3월 초부터 트럼프 대통령이 주장해 온, 버락 오바마 전 대통령이 뉴욕시 트럼프 타워 내 트럼프 캠페인 본부를 도청했다는 의혹에 대해서는 "해당 트윗을 뒷받침할 어떤 정보도 존재하지 않는다"며 혐의 주장을 일축했다. 그는 "FBI 내부의 신중한 조사를 진행했지만, 오바마 전 대통령이 트램프 캠프를 도청했다는 어떤 증거도 발견할 수 없었다"고 덧붙였다. 국가안보국 마이크 로저스(Mike Rogers) 국장 역시 지난 월요일 국회 보고 현장에서 러시아 측의 대...
해킹
대선
러시아
“클릭 실수 한번으로” 러시아 해커가 야후를 털어간 방법
한 번의 클릭 실수였다. 이 한 번의 실수가 러시아 보안 기관과 연결된 해커가 야후 네트워크에 대한 접근 권한을 얻고 5억 명에 달하는 사람들의 이메일 메시지와 개인 정보를 가져갈 수 있도록 했다. 미 FBI는 2년 동안 야후에 대한 침입을 조사해 왔는데, 해킹의 전모가 드러난 것은 2016년 말이나 되어서였다. 그리고 지난 15일 FBI는 4명을 해킹 공격 용의자로 기소했는데, 이 중 두 명은 러시아 정보요원인 것으로 알려졌다. FBI가 밝힌 해킹 기법을 살펴 보자. 이번 해킹은 지난 2014년 초 야후 직원에게 보낸 스피어 피싱 이메일로 시작됐다. 얼마나 많은 직원이 공격 대상이었는지, 얼마나 많은 이메일을 전송했는지는 확실하지 않다. 하지만 단 한 명이 이메일의 링크를 클릭했고, 그것으로 해킹이 본격적화됐다. 러시아 정보기관이 고용한 라트비아 해커 알렉세이 벨란은 일단 네트워크 주변을 탐색하기 시작했고, 목표는 두 가지였다. 야후의 사용자 데이터베이스와 데이터베이스를 편집할 수 있는 계정 관리 툴이 목표였는데, 벨란은 금방 이 두 가지를 찾아냈다. 이들 통해 액세스 권한을 유지한 벨란은 야후 서버에 백도어를 설치했고, 12월에는 야후 사용자 데이터베이스의 백업본을 훔쳐 자신의 컴퓨터로 전송했다. 이 데이터베이스에는 사용자의 이름과 전화번호, 패스워드를 잃어버렸을 때의 질문과 답, 그리고 결정적으로 패스워드 복구 이메일과 각 계정 고유의 암호화 값이 담겨 있었다. 마지막 두 가지가 바로 벨란과 그의 동료인 직업 해커 카림 바라토브가 러시아 정보요원 드미트리 도쿠체프와 이고르 수시친이 요청한 특정 사용자의 계정에 액세스할 수 있는 정보였다. 계정 관리 툴은 사용자 이름 같은 일반 텍스트 검색을 허용하지 않았기 때문에 해커들은 이메일 주소를 복구하는 방법을 사용했다. 때로는 복구 이메일 주소를 기반으로 목표를 알아볼 수 있었으며, 이메일 도메인으로 계정 소유자가 일하는 직장이나 조직을 파악하기도 했다. 일단 목표 계...
야후
해킹
러시아
미 법무부, “토르 취약점 공개 못한다” 아동 포르노 소송 취하
미 법무부가 아동 포르노 사이트 플레이펜(Playpen)에 대한 기소를 취하해 줄 것을 미 연방법원에 요청했다. 법원이 증거를 모으는 데 사용한 해킹 기법을 공개할 것을 요청한 직후의 일이다. 미 법무부는 “정부는 이제 기밀 정보의 공개와 기소 취하 중 하나를 선택해야만 한다”라며, “현재로써는 기밀 공개는 선택안이 아니다”라고 밝혔다. 해당 소송은 2015년 7월 플레이펜에서 아동 포르노 이미지를 본 혐의로 체포된 제이 미초드에 대한 건으로, 플레이펜과 관련된 최소 137건의 소송 중 하나이다. 플레이펜은 익명화된 네트워크인 토르(Tor) 상에서 운영된 사이트로, FBI가 2015년 단속했다. 당시 FBI는 사이트를 즉각 폐쇄하는 대신 13일 동안 운영하면서 방문자의 컴퓨터에 악성코드를 심어 실제 IP 주소와 신원 정보를 확보했다. 플레이펜이 사용한 토르 프로토콜은 웹 사이트의 실제 주소를 사용자에게 숨기는 것은 물론 사용자의 IP 주소도 웹사이트가 알지 못하도록 만들어졌다. 다시 말해 양방향 익명성을 보장하는 것이다. 플레이펜 방문자는 토르에 최적화된 모질라 파이어폭스 버전인 토르 브라우저를 사용했다. FBI가 어떻게 이들 방문자의 컴퓨터에 악성코드를 심었는지는 확실하지 않지만, 보안 연구원들은 모질라 파이어폭스의 패치되지 않은 취약점을 이용했을 것으로 보고 있다. FBI는 이 기법을 NIT(Network Investigative Technique)라고 언급하며, 기밀이라는 이유로 자세한 정보 공개는 거부했다. 피고 미초드의 변호사는 증거 조사 과정의 일부로 미 법무부가 이 방법을 공개해야 한다고 법원에 요청했다. 또 모질라 역시 정부가 취약점 정보를 공유해 패치할 수 있도록 요청했다. 처음에 법원은 사법기관이 수사 기밀의 세부 정보를 지킬 필요가 있다는 데 동의했지만, 5월에는 툴의 기밀을 공개하지 않으면서 이를 통해 수집한 정보를 재판에서 증거로 사용할 수는 없다고 결...
취약점
포르노
FBI
2016년 애플의 가장 큰 성공과 실패, 실수들
만약 애플에 대한 기사, 주가, 제품군에 대한 정보들을 있는 그대로 믿었다면 애플은 수십 년 동안 불행한 운명을 맞이했을 회사였다. 맥어로프(The Macalope)가 알려준 한 가지는 '애플 데드워치'는 (이상하게도) 활발히 작동하고 있다는 것이다. 그러나 진실은 훨씬 더 복잡하다. 2016년은 무엇을 기준으로 해도 애플에게 아주 힘든 한 해였다. FBI와 법정 공방을 펼쳤고, 10년 만에 처음으로 매출이 하락했으며, 업그레이드한 대표 모델 아이폰 7에서 3.5mm 오디오 잭을 없앤 것, 프로 같은 가격이지만 사양은 프로가 아닌 맥북 프로 신제품으로 역풍을 맞았다. 그러나 밝은 소식도 있었다. 4인치 아이폰 SE, 업그레이드된 애플 워치 시리즈 2, 시리가 플랫폼이 된 iOS 10이 성공을 거뒀다. 헤드폰 잭이 사라진 2016년을 정리해봤다. 사라진 헤드폰 잭 애플이 아이폰에서 헤드폰 잭을 없앨 계획이라는 소문이 처음 돌았을 때부터 인터넷이 난리가 났었다. 사용자를 배려하지 않은 결정이라고 비난하는 사람들도 있었다. 모든 사람들이 유선 헤드폰과 다른 주변 장치 대신 블루투스를 이용하라는 말인가? 애플의 필 쉴러 수석 VP는 이를 '용기 있는 변화'라고 발표했고, 애플 비판자들은 이를 비웃었다. 그러다 아이폰 7과 7 플러스가 출시됐으며, 많은 사람들이 애플의 결정을 수긍했다. 무엇보다 라이트닝 이어폰과 오디오 잭 동글을 기본 제공했기 때문이다. 애플은 아직 할러데이 쇼핑 시즌이 포함된 분기 순익 실적을 발표하지 않았다. 아이폰 판매량을 알 수 있는 통계이다. 그러나 아이폰 7 플러스와 아이폰 7 제트 블랙 모델은 출시일에 매진된 것으로 알져지고 있다. 공급이 부족해서, 아니면 수요가 예상을 넘어서서? 후자로 판단되고 있다. 구글은 플래그십 픽셀 스마트폰에 헤드폰 잭을 포함시켰지만, 삼성은 다음 장치에서 애플처럼 헤드폰 잭을 없앨 계획인 것으로 알려지고 있다. 에어팟(Airpod) 출...
FBI
헤드폰잭
아이폰7
체코 경찰, 미국을 표적으로 하는 러시아 해커 체포
체코 경찰은 FBI와의 공조를 통해 프라하의 한 호텔에서 러시아인을 체포했다. 체코공화국 경찰은 미국을 표적으로 사이버범죄를 저지른 혐의로 러시아인 해커를 체포했다. Credit: YouTube 미국 FBI와 공조한 체코 경찰은 프라하 중심가에 있는 한 호텔에서 한 러시아인을 체포했다. 체코 경찰의 공식 발표에 따르면, 그는 현재 감금되어 있으며, 지역 법원이 어떻게 결정하느냐에 따라 미국으로 송환될 처지에 직면했다. 미국은 올해 다가온 선거에 영향을 미칠 목적으로 미국 공공기관 및 정당을 해킹한 러시아 정부를 비판했다. 그러나 미국 한 사법사무관은 올해 초 민주당 전국위원회(Democratic National Committee) 해킹에 러시아 해커는 연루되지 않았다고 말했다. 19일 FBI는 무명의 인물을 체포한 것을 확인했다. 하지만 현재 조사중인 상황이어서 추가적인 상세 내용은 제공할 수 없다고 이메일을 통해 말했다. 체코 경찰은 "러시아 시민을 발견했을 당시 그는 값비싼 자동차를 타고 그의 여차친구와 함께 여행중이었다"며, "체포 당시 그는 아무런 저항도 하지 않았으나 즉시 쓰러졌고 이후 병원으로 실려갔다"고 말했다. 체코 경찰은 그의 체포 당시 동영상을 공개했다. AP(Associated Press)가 보도한 바에 따르면. 그의 이름은 예브게니 N이다. 미국으로 송환될 지 모르는 상황에 러시아 정부는 이 사람을 러시아로 돌려보내 달라고 주장하고 있다. 러시아 관영 통신사 타스(TASS)에 따르면, 러시아 대사관 대변인 안드레이 콜라코프는 "현재 그의 변호사와 연락하고 있다"며, "러시아는 모든 국가들에게 자체 치외법권에 의한 재판관할권을 행사하는 미국의 정책을 거부한다"고 말했다. 보안 전문가들에 따르면, 러시아와 동유럽의 사이버범죄자들은 링크드인과 야후의 데이터 유출 사건에 연루된 범인일 가능성이 높다. 이 유출 사건으로 인해...
체포
해커
미국
추천기사
