본문 바로가기 주메뉴 바로가기 검색 바로가기
美 이동통신사 AT&T, 탈취된 휴대전화 기록 삭제 위해 해커에게 37만 달러 지급
상태바
美 이동통신사 AT&T, 탈취된 휴대전화 기록 삭제 위해 해커에게 37만 달러 지급
AT&T의 데이터 유출 문제를 다룬 보안 연구원은 AT&T의 대다수 고객의 통화 및 문자 기록 전체 데이터세트의 사본만 삭제되었다고 확신한다. 데이터 유출 사태에 따른 위험성은 여전히 남아있다.
By KIM ZETTER, WIRED US

미국 대형 이동통신사 AT&T가 2024년 7월 12일(현지 시각), 해커 세력이 고객 수천만 명의 통화 기록을 탈취한 사실을 밝혔다. 이후 AT&T는 고객 데이터 삭제와 데이터 삭제 사실을 입증하는 영상을 확보하고자 해커 세력에게 30만 달러가 넘는 금액을 건넸다.

악명 높은 해커 조직인 샤이니헌터스(ShinyHunters) 소속으로 알려진 이번 공격을 개시한 해커는 와이어드에 보안이 불안정한 스노우플레이크(Snowflake) 클라우드 저장소 계정을 이용하여 수많은 데이터를 탈취했으며, AT&T가 2024년 5월 자로 데이터 비용을 건넸다고 밝혔다. 해커는 자신에게 암호화폐를 송금할 지갑 주소를 제공했으며, 해당 주소로 암호화폐를 송금받았다. 와이어드는 온라인 블록체인 추적 툴을 통해 2024년 5월 17일 자로 5.7BTC가 이체된 사실을 확인했다. 암호화폐 추적 기업 TRM랩스(TRM Labs) 글로벌 조사 책임자 크리스 잔체위스키(Chris Janczewski)도 TRM랩스의 자체 추적 툴을 통해 AT&T가 해커에게 5.72BTC(약 37만 3,646달러)를 건넨 사실과 이후 해커가 가상자산 거래소와 지갑 여러 개를 이용하여 자금을 세탁한 사실을 확인했다. 다만, 지갑을 관리자의 정체를 시사하는 정보는 언급하지 않았다.

온라인 상의 가명인 레딩턴(Reddington)이라고만 정체를 밝힌 보안 연구원도 AT&T가 탈취 데이터 유출을 막으려 해커에게 비트코인을 송금한 사실을 확인했다. 해커는 레딩턴을 AT&T와의 협상 중개인으로 지정했다. 이후 AT&T는 레딩턴에게 협상 중개 수수료를 보냈다. 레딩턴은 와이어드에 수수료 이체 기록을 공개했다. 해커가 AT&T에 처음 요구한 데이터 비용은 100만 달러였으나 결국에는 1/3 수준으로 합의를 마쳤다.

와이어드는 해커가 AT&T에 자신의 컴퓨터에서 탈취 데이터를 삭제한 사실을 입증하고자 보낸 영상을 보았다. AT&T는 와이어드의 의견 공개 요청에 응하지 않았다.

2024년 4월, AT&T는 레딩턴을 통해 고객 데이터 탈취 사실을 파악했다.

레딩턴은 2024년 4월 중순께 와이어드에 튀르키예에 거주 중인 미국인이자 데이터 비용을 받은 해커가 아닌 다른 해커인 존 에린 빈스(John Erin Binns)가 자신의 AT&T 통화 기록 데이터를 확보한 뒤 연락한 사실을 알렸다. 레딩턴이 통화 기록 데이터가 진짜임을 확인한 뒤 빈스는 레딩턴에게 스노플레이크가 제공하는 보안 수준이 열악한 클라우드 저장소를 통해 AT&T 고객 수천만 명의 통화 및 문자 기록 데이터도 확보했다고 주장했다. 레딩턴은 보안 기업 맨디언트(Mandiant)에 데이터 탈취 사실을 알렸다. 이후 맨디언트는 AT&T에 데이터 탈취 사실을 알렸다. 2024년 7월 12일, AT&T는 미국 증권거래위원회(SEC)에 제출한 서류를 통해 2024년 4월에 데이터 탈취 사실을 처음 인지했다고 밝혔다.

레딩턴은 빈스가 탈취했다고 주장하는 AT&T 전체 데이터세트 모두 삭제된 상태라고 확신한다. AT&T 데이터를 탈취한 해커와 빈스가 공동으로 접근할 수 있는 클라우드 서버에 데이터를 저장했으며, 해커는 서버에서 데이터를 삭제했기 때문이다.
 
[사진=Freepik]
[사진=Freepik]

AT&T는 2024년 4월과 5월 내내 알려진 해킹 작전 도중 보안이 허술한 스노우플레이크 계정에서 데이터 탈취 피해를 겪은 기업 150여 곳 중 한 곳이다. AT&T는 다중 인증 방식으로도 계정 보안이 안전한 상태가 되지 못했다고 보고한 적이 있다. 따라서 해커는 AT&T 계정 사용자명과 패스워드를 손에 넣고, 저장소 계정에 접근하고는 데이터를 탈취했다. (일부 기업의 데이터 탈취 시 인증 토큰도 탈취한 것으로 추정된다.) 지금까지 티켓마스터(Ticketmaster)와 금융 기업 샌탠더(Santander), 렌딩트리(LendingTree), 어드밴스 오토 파트(Advance Auto Parts) 등이 데이터 탈취 피해를 겪은 것으로 알려졌다.

레딩턴은 해커와 피해자 간 스노플레이크 계정 보안 침입 사건 협상 여러 건이 수월하게 진행되도록 도왔다. 빈스는 레딩턴에게 AT&T에 접촉하여 데이터 재판매를 수월하게 진행하도록 요청했다. 레딩턴은 데이터의 중요성과 잠재적 피해 수준을 고려했을 때 빈스가 외부로 데이터를 판매하지 않도록 보장해야 할 의무가 있다고 판단했다.

레딩턴은 스노플레이크 계정을 이용한 일련의 데이터 탈취 피해는 티켓마스터의 스노우플레이크 계정 데이터 탈취가 가장 먼저 발생하고, 이후 AT&T 등 다른 기업으로도 데이터 탈취 공격 대상이 추가되었을 가능성이 있다는 점에 주목했다.

레딩턴은 “해커가 다른 피해자에게 제공한 데이터 샘플 분석 결과는 티켓마스터 해킹이 먼저 발생했음을 시사한다. 여기서부터 해커 세력이 신원 정보 탈취를 모색하면서 snowflakecomputing.com 도메인을 공격 표적으로 삼은 것으로 보인다. 해커 세력이 데이터 탈취 표적 목록을 압축하고는 모든 스노플레이크 계정 탈취 피해 기관을 동시에 공격할 스크립트를 작성하는 데는 오랜 시간이 걸리지 않았다”라고 설명했다.

AT&T 탈취 데이터 중에는 통화 및 문자 메타데이터도 있다. 그러나 AT&T는 SEC에 제출한 서류를 통해 통화 내용이나 문자 내용, 기기 주인의 이름 등은 유출되지 않았다고 전했다. 레딩턴은 빈스가 이름과 가족 구성원, 동료, 기타 휴대 전화로 연락한 상대 관련 정보 등을 식별하는 역조회 프로그램을 이용하여 탈취 피해자의 연락처를 손쉽게 알아낼 수 있다는 점을 입증했다.

탈취 데이터에는 AT&T의 대다수 고객 연락처와 2022년 5월 1일부터 2022년 10월 31일 사이, 2023년 1월 2일, AT&T 사용자와 전화나 문자를 한 적이 있는 다른 무선 이동통신사 고객 연락처도 포함되었다. 같은 시기 AT&T 데이터 유출 피해를 겪은 고객과 연락한 유선 전화 번호도 유출되었다. 유출 데이터 중에는 통신 날짜, 통화 시간 등도 있다. AT&T는 공식 블로그 게시글로 “데이터 탈취 기록의 하위 범주에는 AT&T 통신 서비스 사용자와 관련이 있는 기지국 ID 번호도 있다”라고 밝혔다. 기지국 ID는 스마트폰이 통신 서비스에 연결한 기지국 정보를 드러내며, 휴대전화 사용자의 주변 위치 및 움직임을 식별하는 데도 이용할 수도 있다.

데이터 탈취 피해 사실은 2024년 7월 12일, 피해 사실을 밝힌 AT&T의 블로그 게시글과 SEC 제출 서류를 통해 알려졌다. 공공 기업은 SEC에 보안 공격을 인지한 직후 보고해야 할 의무가 있으나 AT&T는 피해 사실이 밝혀질 때의 국가 안보나 공공 안전 피해를 우려하여 2024년 5월과 6월, 미국 법무부가 보고 면제 권한을 부여했다고 밝혔다. 미국 연방수사국(FBI)은 CNN과의 인터뷰에서 AT&T가 해킹 사실을 인지하자마자 FBI에 연락했다고 전했다. 그러나 FBI는 AT&T가 대중과 SEC에 피해 사실을 알리기 전 탈취된 데이터를 판단하고, 잠재적 피해 평가를 위한 데이터 검토를 원했다.

AT&T의 데이터 비용을 받은 해커는 AT&T의 클라우드 계정을 대상으로 한 보안 공격이 빈스의 소행이라며, 빈스를 포함한 다른 이들이 다운로드 후 샘플을 공유했다고 주장했다. 해커는 빈스가 AT&T 기록 수십억 건을 탈취했다고 주장했으나 와이어드는 이를 확인할 길이 없었다. 레딩턴은 삭제된 데이터가 해커 세력이 유일하게 완성한 데이터세트임을 파악했다. 레딩턴은 해커 세력이 AT&T 고객 데이터를 외부에 공개하지 않았다고 본다. 다만, 빈스가 제공하거나 이용한 것으로 알려진 데이터를 받은 이가 얼마나 되는지는 확신하지 못한다.

데이터 비용 지불 후 데이터 삭제가 완료되었으나 일부 고객과 AT&T 서비스 사용 기기와 연락한 기기 사용자의 데이터 유출 위험성은 여전히 남아있다. 다른 데이터 샘플이 삭제되지 않았을 가능성 때문이다.

와이어드와의 취재에 응한 해커는 2024년 5월, 빈스가 AT&T와는 무관한 2021년 개시한 보안 공격으로 튀르키예에서 체포된 변수 때문에 빈스 대신 AT&T의 데이터 비용을 받았다고 주장했다. 당시 발생한 사이버 공격 피해 중에는 T-모바일의 대규모 데이터 탈취 피해도 있다. AT&T는 SEC에 제출한 서류에 해킹과 관련된 인물 최소 1명이 이미 체포되었을 가능성이 있다고 기술했으나 빈스의 정체를 확인하지는 않았다. 2024년 7월 12일, 404미디어는 SEC 제출 서류에 언급된 체포된 해커의 정체가 빈스일 가능성을 최초로 보도했다.

빈스는 2021년 발생한 T-모바일의 민감한 파일 및 정보 탈취, 판매와 관련하여 12건의 혐의로 기소되었다. T-모바일 데이터 탈취로 4,000만 명 이상의 데이터가 탈취된 것으로 알려졌다. 그러나 2021년, 월스트트저널과의 인터뷰 기사로 밝혀진 바와 같이 빈스는 2018년, 튀르키예 출신인 어머니와 함께 미국에서 튀르키예로 이주했다. 2024년까지 기소장이 공개되지 않았다. 2023년 9월 말, 미국 당국은 빈스가 튀르키예에서 체포되었을 가능성을 확인하고는 빈스가 튀르키예 시민이 아니라는 점에서 범죄인 인도 요청을 했다. T-모바일 본사와 가까운 지역인 시애틀 지역 검찰은 2023년 12월, 미국 법원에 기소장을 공개하여 튀르키예 법률에 따른 범죄인 인도 절차를 판단할 튀르키예 당국에 체포 영장을 보낼 수 있도록 요청했다. 법원은 2024년 1월, 검찰의 요청에 응했다.

AT&T의 데이터 비용을 받은 해커는 와이어드에 빈스가 2024년 5월께 체포된 것으로 추정한다고 밝혔다. 이후 자신과 다른 해커 모두 빈스와 연락이 닿지 않았기 때문이다. 와이어드는 T-모바일 사건의 빈스 담당 국선 변호인에게 연락했으나 어떠한 답변도 받지 못했다.

빈스는 미국 당국과 몇 차례 접촉했으며, 자신에게 피해를 주어 함정에 빠뜨리려 한 대규모 음모론을 두고 미국 중앙정보국(CIA)을 포함한 복수 기관을 비난했다. 2020년, FBI, CIA, 미국 특수전자사령부(US Special Operations Command)를 상대로 제기한 정보 공개법 소송으로 빈스는 CIA 계약직 직원이 자신을 대상으로 한 감시와 실험, 괴롭힘 등을 가한 혐의와 다른 정부 기관 관료가 공상과학 영화 속에서나 볼법한 무기를 자신의 머리에 겨눈 혐의, 전자레인지를 이용하여 충격을 가한 혐의 등 각종 혐의를 주장했다. 이후 정보 공개법 소송을 취하하면서 FBI와 CIA, 미국 특수전자사령부의 이른바 심리적 작전이 무해한 상태에서 진행되었다는 일부 문서를 제출했다고 주장했다.

2023년 10월, 빈스는 T-모바일 해킹 사건과 관련하여 시애틀 법원에 서류를 제출하면서 신생아였을 당시 자신의 뇌에 삽입된 칩의 조종을 받은 것이 해킹 작전 계기였다고 주장했다. 와이어드도 검토를 마친 법원에 인증된 채로 전송된 서한에서 빈스는 사건 담당 판사에게 무선 뇌 시뮬레이션 삽입 장치 혹은 삽입된 기기가 출생 직후 거부할 수 없는 충동과 인공 신경 문제, 범죄 가능성 등 변덕스러운 행위의 원인이 되었다고 전했다.

해킹 및 체포 시간을 종합하였을 때 빈스가 AT&T 데이터 탈취 배후에 있다면, T-모바일 해킹으로 기소된 사실이나 체포 가능성을 인지한 상태에서 AT&T 데이터를 탈취했을 가능성이 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
AT&T Paid a Hacker $370,000 to Delete Stolen Phone Records
이 기사를 공유합니다
RECOMMENDED