본문 바로가기 주메뉴 바로가기 검색 바로가기
[결산 2010's] 최악의 해킹 사건들
상태바
[결산 2010's] 최악의 해킹 사건들
③ 사이버 보안 분야에서는 특히 힘들었던 10년

지난 10년은 전 산업분야, 특히 ITㆍ통신ㆍ과학 분야에서 혁명적 변화가 진행된 시기였습니다. 4차 산업혁명이 발원해 그 물살이 전 세계를 급습했고, 한국 역시 그 변화의 소용돌이 한 가운데를 지나고 있습니다. <와이어드코리아>는 앞으로 다가올 10년을 대비하자는 차원에서 2010년대를 점검하는 시간을 가지고자 합니다. 실패와 성공의 지난 시간들은 결국 인간에게 이로운 기술로 발전할 것으로 믿기 때문입니다.   - 편집자 드림

/ By Lily Hay Newman, WIRED US

지난 10년 동안 해킹은 전 세계 수십억 명의 사람들에게 새로운 사건이라기보다 피할 수 없는 현실이 됐다. 시민들은 데이터에 대한 통제력을 잃었고 억압적인 정권이 급속 적으로 시행 중인 감시를 당했다. 뿐만 아니라, 해커는 사람들의 신분을 도용했고 넷플릭스 계정에는 위험이 도사리고 있었다. 사람들은 정부의 인터넷 폐쇄에 대응해야 했고 사상 첫 사이버 전쟁에 휘 말려들게 되었다.

점점 더 컴퓨터화되고 있는 세계는 불가피하게도 지속적인 위협이 따라온다는 사실은 수십 년 동안 명백해졌다. 그러나 범죄가 들끓는 암시장, 특정 나라 정부 지원으로 이루어지는 해킹, 각종 사기 등 해킹의 실질적인 진화는 메마르고 냉정한 미래와 달리 인간적이라고 할 수 있겠다.

지난 10년간의 데이터 유출과 사이버 공격을 연대순으로 정리했다. 지난 10년을 되돌아보면 걱정이 유발될 수 있겠지만 과거의 기억을 보면서 안전을 한 층 더 강화하겠다는 다짐을 할 수 있겠다.

◆ 스턱스넷(Stuxnet)

스턱스넷은 현실 장비에 물리적인 손상을 입힌 최초의 악성코드다. 미국 정부와 이스라엘이 만든 이 웜(바이러스의 일종)은 2010년 이란의 핵 농축 시설에 있는 원심분리기를 파괴하는 데 사용됐다.

스턱스넷은 마이크로소프트 윈도우를 목표로 하기 위해 ‘제로 데이’의 취약점 4개를 묶는다. 그 후 스턱스넷은 손상된 네트워크에서 ‘지멘스 스텝7(Siemens Step 7)’이라는 산업용 제어 소프트웨어를 찾아내고 산업 공정을 자동화하는 논리 제어기를 조작했다.

조종자는 이 논리 제어기로 프로그램밍을 할 수 있다. 비록 스턱스넷이 이란의 핵 프로그램을 강타했으나, 이 악성코드는 다른 산업 장치에도 스며들어 사용될 수 있어서 주의를 요해야 한다.

샤문(Shamoon)

샤문은 해커의 편의를 위해 컴퓨터의 파일을 색인화하고 업로드한 뒤 데이터를 지운다. 이 기술은 하드 디스크 맨 앞에 기록되어 있는 시스템 기동 영역인 ‘마스터 부트 레코드’를 파괴하는 윈도우 ‘와이퍼’ 악성코드 이다.

샤문은 네트워크 전체에 퍼질 수 있으며, 2012년 8월 사우디아라비아 석유 회사인 아람코를 대상으로 한 파괴적인 공격에 사용되어 약 3만 대의 컴퓨터를 엉망으로 만들었다. 그로부터 며칠 후, 샤문은 카타르의 회사 라스가스를 공격했다.

샤문은 이란 국영 해커들에 의해 개발되었다. 이 악성코드는 스턱스넷, 스파이 도구 플레임(Flame)과 듀쿠(Duqu) 등 미국 국가안보국(NSA)이 만든 공격 용도 해킹 도구에서 영감을 받아 만든 것으로 보인다.

진화된 버전의 샤문은 2017, 2018년간 이루어진 일련의 공격으로 다시 등장했다. 이 악성코드는 최초로 한 국가를 대상으로 데이터 파괴와 감염된 장치의 동작 불능을 목적으로 만들어진 웜 바이러스 프로그램이라는 점에서 각별하다.

소니 핵(Sony Hack)

2014년 11월 24일, 소니 픽처스 엔터테인먼트 미국 전역의 컴퓨터 화면에 붉은 해골이 나타났다. 자신을 '평화의 수호자(Guardians of Peace)’라고 부르는 해커들은 회사 네트워크에 침투해 100테라바이트의 데이터를 훔쳤다고 주장했다.

사건이 있고 난 뒤 그들은 공개되지 않은 소니 영화, 이메일, 배우 출연료뿐 아니라 급여, 성과평가, 의료기록, 사회보장번호와 같은 직원 정보를 포함한 수백 기가바이트를 내다 버렸다.

해커들은 데이터를 훔칠 뿐만 아니라 파일과 컴퓨터의 환경설정을 삭제하는 와이퍼 맬웨어를 사용하는 방식으로 소니의 컴퓨터 시스템을 아수라장으로 만들었다. 그리하여 소니는 디지털 인프라의 많은 부분을 처음부터 다시 구축해야 했다.

이 해킹은 결국 북한 정부의 소행으로 밝혀졌는데, 김정은 암살을 다룬 코미디 영화 '더 인터뷰'의 공개에 대한 보복으로 보인다.

미 인사국 정보 유출

지난 10년간 가장 음흉하고 눈여겨보아야 할 데이터 누출 사건 중 2013년과 2014년에 중국이 미국 인사국을 대상으로 한 일련의 정보 누출과 바이러스를 감염시켰던 사건이 특히 시선을 끈다. 인사국은 미국 정부 직원들을 위한 인적자원 및 행정 부서이다.

이 중요 기관은 비밀취급인가를 관리하고, 개개인의 배경조사를 실시하며 모든 전현직 연방 직원에 대한 기록을 보관하기 때문에 민감한 데이터를 대량으로 저장한다. 미국 연방정부를 더 자세히 알고 싶어 하는 해커들에게 있어, 인사국의 기록은 비할 데 없는 ‘보물 창고’라 할 수 있다.

중국 정부와 연계된 해커들은 인사국 네트워크에 두 차례 침입한 기록을 남겼다. 첫 공격 흔적은 2013년 인사국 네트워크의 기술 청사진을 훔쳐 간 사실이 확인됐다.

이 사건이 일어난 지 얼마 안 되어 해커들은 두 번째 공격을 감행해 다른 모든 서버 로그인에 대한 인증을 관리하는 관리 서버를 장악했다. 즉 인사국이 2015년에 무슨 일이 일어났는지 깨닫고 침입자를 제거하기 위해 행동에 나섰을 때, 해커들은 2150만 명의 사회보장번호와 560만 개의 지문 기록 등 미 연방 직원들의 수천만 개에 달하는 상세한 기록을 훔칠 수 있었다.

어떤 경우에는 연방정부 직원이 아니었지만 희생자들도 있었는데 이들은 어떻게든 신원 조사를 받은 정부 직원들과 연결되어 있었다. 이러한 검사에는 피험자의 가족, 친구, 동료, 자녀들의 가계도와 같은 매우 구체적인 모든 정보가 포함된다.

도난 된 인사국 데이터는 온라인 상에 유포되거나 암시장에 나타나지 않았다. 왜냐하면 이 데이터는 유포되었을 시 이득을 얻기 보다는 배포되지 않았을 때의 이득인 기밀 가치가 높기 때문이다. 보도에 따르면, 중국 공작원들은 이 정보를 미국 시민들과 정부 활동을 분류하는 데이터베이스를 보완하기 위해 사용했을 수도 있다고 한다.

우크라이나 정전

지난 10년간 일어났던 중요한 사건 중 두 개를 꼽으면 우크라이나와 전쟁 중인 러시아가 2015년과 2016년 12월 우크라이나의 전력망에 두 번의 사이버 공격을 가해서 우크라이나 시민들이 정전을 겪었던 일이다.  두 공격 모두 공격적인 활동으로 잘 알려진 러시아 정부의 해킹 단체인 샌드웜(Sandworm)에 의해 이루어졌다.

첫 번째 정전은 일련의 악성코드에 의해 발생했고 이 악성코드들 중에는 블랙 에너지(Black Energy)가 포함됐다. 블랙 에너지는 해커들이 컴퓨터 안에 있는 각종 공인 인증서와 증명서를 훔치고 회로 차단기를 수동으로 끌 수 있는 것을 가능하게 해준다.
 

러시아 정부의 해킹 조직 샌드웜은 2015년과 2016년 우크라이나 전력망에 두 차례 사이버 공격을 가해 정전을 일으켰다. [사진=Getty Images]
러시아 정부의 해킹 조직 샌드웜은 2015년과 2016년 우크라이나 전력망에 두 차례 사이버 공격을 가해 정전을 일으켰다. [사진=Getty Images]


두 번째 정전은 크래시 오버라이드(Crash Override) 또는 인더스트로이어(Industroyer)로 알려진 보다 진화된 악성코드에 감염된 전기 공급소를 목표로 했다. 이 공격에서, 해커들은 첫 번째 전력 망 공격 에서와 같이 교묘한 방법들을 사용하는 대신 전력 흐름을 제어하는 시스템을 직접 조작할 수 있었다.

두 번째 정전 공격은 계획했던 대로 됐다면 장비에 영구적인 피해를 입히는 것을 의도했다. 그러나 조그마한 기술적 실수로 인해 정전은 한 시간 정도밖에 지속되지 않았다.

해커로 인한 정전이 수십 년 동안 악몽의 대상이었지만, 현실 세계에서 샌드웜은 전력망에 파괴적인 공격을 시작한 최초의 해킹 그룹이었다. 이를 통해 러시아는 우크라이나와의 물리적 충돌뿐 아니라 완전한 사이버 전쟁에 돌입했음을 입증했다.

섀도 브로커(Shadow Brokers)

섀도 브로커라고 불리는 한 단체가 2016년 8월 처음 모습을 드러냈다. 이 단체는 국제 스파이 활동에 주력하는 엘리트 해킹 팀인 국가안보국 이퀘이션그룹(Equation Group)에서 훔쳤다고 주장하는 스파이 도구 샘플을 공개했다. 그러나 2017년 4월, 이 그룹은 ‘이터널블루(EternalBlue)’로 알려진 마이크로소프트 악성코드를 포함한 보다 광범위한 NSA 도구를 내보냈다.

이 도구는 당시 거의 모든 윈도우 운영 체제에 존재하는 마이크로소프트의 서버 메시지 블록 파일 공유 프로토콜의 취약성을 활용한다. 마이크로소프트는 섀도 브로커가 이터널블루를 공개하기 몇 주 전 NSA의 요청에 따라 결함을 해결하기 위한 패치를 발표했다. 그러나 대형 기관을 포함한 윈도우 사용자들은 이 패치를 도입하는 속도가 더디다. 이로 인해 전세계적으로 이터널블루 관련 해킹의 도구에 광범위하게 시작됐다.

첫 번째 두드러진 예는 2017년 5월 12일 이터널블루(EternalBlue)를 이용해 세계를 휩쓴 워너크라이(WannaCry)라는 랜섬웨어다. 국영 북한 해커들이 수익을 창출하고 혼란을 일으키기 위해 만든 랜섬웨어는 특히 유럽과 영국에서 공공 사업체들과 대기업을 강타했다. 예를 들어, 워너크라이는 영국의 국립 보건 서비스 병원과 시설들의 컴퓨터 네트워크를 교란했고 이는 응급실 등 전반적인 환자 치료에 영향을 주었다.

연구원들은 북한 해커들이 일종의 실험을 거치며 개발하고 있던 악성 프로그램인 워너크라이가 우연히 세상에 퍼지게 된 것으로 의심한다. 개발 도중 워너크라이가 해커들의 통제력에서 벗어나 실험실 밖으로 빠져나가게 된 것이다.

워너크라이에는 보안 전문가들이 워너크라이의 확산을 막기 위해 킬 스위치(긴급 상황에장치를 끌 수 있는 장치)로 활용할 수 있는 등 설계상의 큰 결함이 있었기 때문에 그런 의심을 받는다. 북한 해커들은 랜섬웨어로 당시 10만 달러가 채 되지 않았던 비트코인 52개를 수익으로 창출했을 뿐이며 오늘날 시세로 환산하면 약 36만9000달러이다.

이터널 블루 유출과 그에 따른 대규모 착취는 정보기관과 미군이 주요 소프트웨어 취약성에 대한 지식을 축적해야 하는지에 대한 논쟁과 정보기관의 스파이 및 공격적인 해킹을 위해 이 취약성을 어떻게 이용해야 할지에 대한 논란을 불러일으켰다.

정보기관 공동체는 어떤 오류가 국가 안보에 중요하여 비밀로 유지되어야 하는지 아닌지 분간하기 위해 ‘버네러빌리티 에퀴티 프로세스(Vurnerability Equity Process)’라는 체계를 사용하고 있다.

NSA의 기밀 정보는 웜 바이러스에 걸려도 이를 제거하기 위해 해결사에게 소프트웨어 제어를 맡길 수 없다. 왜냐하면 소프트웨어 제어를 의뢰한 순간 기밀 정보는 더 이상 기밀이 아니게 되기 때문에 바이러스에 걸려도 그대로 내버려 두기도 한다.

그러나 일부에서는 이러한 해킹 도구들을 확보했다는 미국 정부의 부실한 기록과 또 다른 워너크라이 유형 사건의 위협을 고려할 때 감독 메커니즘이 적절치 않다고 주장한다.

2016년 미국 대통령 해킹

러시아 해커들은 지난 10년 동안 우크라이나만을 공포에 떨게 하지 않았다. 그들은 또한 2016년 미국 대선 기간 동안 미국과 관련된 데이터 유출과 허위 정보 유포 활동을 시작했다.

APT 28(일명 팬시 베어), APT 29(일명 코지 베어)라고 알려진 두 그룹의 러시아 해커들은 대규모 소셜 미디어 허위 정보 유포 작전을 벌였다. 이들은 민주당 전국 위원회에 이메일 피싱 공격을 해서 민망한 내용이 적혀져 있는 서신을 공개적으로 유출했고 힐러리 클린턴의 선거단장 존 포데스타 의 이메일 계정 침투에 성공하기도 했다.

미국 유권자들이 선거 당일 누구에게 투표할지에 대한 의견을 형성하고 있는 것처럼 러시아 첩보원들은 도난당한 자료를 익명의 플랫폼인 위키리크스를 통해 유출해 논란을 불러일으켰다. 러시아 해커들은 나중에 2017년 프랑스 대선에도 개입했다.

선거 참가를 통해 자국의 이익을 도모하려는 국가가 러시아만 있는 것은 아니다. 2016년 미국이라는 인지도 높은 목표물에 집중한 것으로 미뤄보았을 때, 러시아는 이 한해 동안 아마 그 어느 때보다도 뻔뻔했다.

낫페트야(NotPetya)

2017년 6월 27일, 랜섬웨어로 보이는 무언가가 전 세계에 파문을 일으켰다. 그러나 낫페트야는 랜섬웨어 공격이 아니었다. 이것은 컴퓨터를 잠그고 네트워크를 파괴하고 혼란을 일으키기 위해 만들어진 악성코드였다.

낫페트야는 러시아의 해킹 그룹 샌드웜에 의해 개발되었는데, 우크라이나를 겨냥한 것으로 보인다. 우크라이나의 피해는 광범위했지만, 피해자는 우크라이나에만 한정된 것은 아니었다. 악성코드는 굉장히 치명적이었고 러시아를 포함한 다국적 기업에 타격을 입히는 것으로 드러났다.

전체적으로, 미국 정부는 낫페트야가 최소 100억 달러의 피해를 입혔으며 제약회사, 해운회사, 전력 회사, 공항, 대중교통, 그리고 우크라이나를 포함한 전 세계의 의료 서비스를 방해했다고 추정한다. 이 악성코드는 지금까지 역대 최고의금전적 피해를 발생시킨 사이버 공격이었다.

낫페트야 사례는 주기적인 업데이트를 공급하는 소프트웨어 개발업체 공격, 일명 공급망 공격이었다. 해커들은 우크라이나에서 누구나 쓰는 회계 소프트웨어 메닥(MeDoc)의 시스템 업데이트를 감염시킴으로써 악성코드를 세계에 뿌렸다.

일반 메닥 사용자가 소프트웨어 업데이트를 실행하면 초기의 낫페트야도 다운로드 됐다. 낫페트야는 사이버 전쟁에서 부수적 피해의 중대한 위험을 강조할 뿐만 아니라 특히 소프트웨어에서 공급망 공격의 매우 실제적인 위협도 강조했다.

에퀴팩스(Equifax)

지난 10년 중 비교적 늦게 발생한 일이지만 신용 감시 회사인 에퀴팩스에서 2017년 모든 회사 정보가 유출된 초기 상황이 발생한 뒤 에키팍스는 상황을 너무 허술하게 처리했다. 게다가, 규모와 심각성을 감안했을 때 에키팍스 사례는 모든 기업 데이터 유출의 어머니라고 할 수 있다.

이 사건은 1억 4790만 명 개인 정보를 노출시켰다. 즉, 출생 일자, 주소, 운전면허번호, 약 20만9000개의 신용카드번호, 사회보장번호 등 미국 인구의 거의 절반이 잠재적으로 중요한 고유식별자를 노출시켰음을 의미한다.

에퀴팩스는 2017년 9월 초에 유출 사실을 공개했지만, 그런 관점에서 또 다른 일련의 불행한 사건들을 야기시켰다. 회사가 피해자들을 위해 개설한 웹 사이트는 그 자체가 공격에 취약했고, 그들의 데이터가 위반에 의해 영향을 받았는지 확인하기 위해 사람들의 사회보장번호 마지막 여섯 자리 숫자를 요구했다.

이것은 다시 한번 미국인들이 전면적으로 에퀴팩스가 그들의 데이터를 잘 관리해줄 것이니 다시 신뢰해달라고 요청한다는 의미였다. 에퀴팩스는 또한 유출 대응 페이지를 에퀴팩스 주 도메인의 일부가 아닌 독립적인 사이트로 만들었는데, 이 결과 에퀴팩스와 유수한 가짜 사이트가 생겼고 공격적인 피싱 시도가 있었다. 공식 에퀴팩스 트위터 계정은 심지어 특정 피싱 링크 하나를 4번이나 실수로 트윗 하기도 했다.

네 번! 다행히 이 링크는 실제 악성 사이트가 아닌 개념 증명 연구 페이지였다. 그 후 에퀴팩스가 위험할 정도로 허술한 보안 문화를 가지고 있고 사건이 발생했을 시 대응 절차가 미비하다는 징후가 여러 차례 나타났다.

에퀴팩스 개인정보유출은 눈에 띄게 심했지만, 지난 10년 동안 있었던 기업 데이터 유출 사례들 중 하나일 뿐이다. 4,000만 고객의 데이터를 손상시킨 2013년 말 소매 기업 타겟(Target) 사례는 이제 개인 정보가 위험에 처 있다는 일반적인 인식의 전환점이 되었던 것으로 느껴진다.

곧이어 네이먼 마커스(Neiman Marcus)와 미카엘스(Michaels)는 2014년에 고객 데이터의 주요 정보 유출을 발표했다. 같은 해 9월 홈디포도 정보 유출을 당해 약 5천600만 고객의 신용카드와 직불카드의 정보가 해커들에게 노출됐다.

그리고 2015년 7월 해커들은 외도와 불륜을 조장하는 사이트인 애슐리 매디슨을 침입했다. 그로부터 한 달 안에 해커들은 그들이 애슐리 매디슨 사이트에서 훔친 약 10기가바이트에 달하는 데이터를 올렸는데, 여기에는 약 3천 200만 명의 애슐리 매디슨 사용자들의 신용카드와 계정 정보가 들어 있었다. 그 정보에는 성적 기호와 성향에 대한 정보가 포함돼 있었다.

그러나 진짜 이름 혹은 누구인지 추적 가능한 가명을 사이트에 입력한 사용자들에게 이 사건은 그들의 개인정보가 드러냈을 뿐만 아니라 그들이 애슐리 매디슨 계정을 가지고 있다는 사실이 공개된 셈이다.

2015년 여름 동안 이 정보 유출에 대해 급소를 찌르는 말들이 생겨났지만, 중요한 것은 이런 정보 유출로 인해 그 사이트 사용자들에게 큰 손해를 초래했다.

아드하르(Aadhaar)

정부에서 사용하는 개인정보 식별 데이터베이스인 아드하르는 11억 명 이상의 인도 시민을 위해 개인 정보, 생체 측정 및 12자리 식별 번호를 저장한다. 아드하르는 은행계좌 개설부터 공과금 납부, 휴대폰 가입까지 모든 것에 사용된다. 기술 회사들은 아다하르와 연결해서 고객들을 추적할 수 있다.

그러나 이러한 모든 상호 연결로 인해 제3자 또는 인도 정부 스스로 정보를 부적절하게 저장할 때 아드하르 데이터가 무수히 많이 노출되었다. 그 결과, 연구원들은 2018년만 해도 아드하르에 등록된 11억 명의 데이터가 유출됐다고 추정한다. 보도에 따르면 자료 암시장이 번창하고 있다고 한다.10억 명 어치의 데이터를 분실할 수 있는 기관은 거의 없다.
 

인도 정부에서 사용하는 개인정보 식별 데이터베이스인 아두하르에서 2018년에만 11억 명의개인 정보가 유출되었다.[사진=Bob Sacha/Getty Images]
인도 정부에서 사용하는 개인정보 식별 데이터베이스인 아두하르에서 2018년에만 11억 명의개인 정보가 유출되었다.[사진=Bob Sacha/Getty Images]

한편, 야후는 두 번의 개별적인 데이터 유출사건을 겪었다. 2014년 말에 유출되어서 2016년 9월에서야 개인정보가 유출된 사실이 알려졌다. 이 때 누출된 야후 계좌는 5억 개에 이른다. 2013년 8월 발생했다가 2016년 12월 개인 정보가 유출되었다는 사실을 공지한 뒤 2017년 10월에 2013년까지 유지되었던 모든 야후 계정들의 정보가 노출됐다고 밝혔다. 이 두 사건에서 유출된 총 개인 정보 계좌 수는 무려 30억 개에 달한다.

인사국과 에퀴팩스와 같은 데이터 유출은 복잡하다. 왜냐하면 국가에서 운영하는 첩보 활동의 결과물이고 이 데이터는 공개적으로 유출되지 않기 때문이다. 심지어 범죄 포럼에서도 누출되지 않는다. 이것은 이러한 정보 유출로 인해 발생하는 일반적인 사람들의 하루하루의 위험을 평가하기 어렵다는 것을 의미한다.

그러나 아드하르, 야후, 타겟, 그리고 많은 기업들의 데이터가 공개적으로 유출되고 다크 웹 상에서 유포되기 시작하면 광범위한 사기, 디지털 계정 훼손, 그리고 그 여파로 뒤따르는 사기와는 매우 분명한 연관성이 있다.

 

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다.
 

[참조기사 및 링크]

The Worst Hacks of the Decade

와이어드 코리아=문재호 기자 jmoon@wired.kr
이 기사를 공유합니다
RECOMMENDED