“범죄 행위 포장 의도일 뿐”
“시스템 허점 악용한 개인 이득 목적... 의로운 해커인 양 코스프레”
[보안뉴스 강현주 기자] 쿠팡이 내부 직원 소행으로 추정되는 3370만명의 역대급 개인정보 유출 사고를 당하면서 “보안을 강화하라”는 ‘협박’ 메일을 받은 것으로 알려져 의문을 자아낸다. 보안 커뮤니티 등에선 농담조로 “의적 아닌가요”라는 식으로 회자되고 있다.
이에 대해 윤리적 해커 등 보안 분야 전문가들은 “범죄 행위를 마치 대의 명분이 있는 양 포장하는 행위일 뿐”이라고 일축했다.
쿠팡은 지난달 29일 3370만명의 쿠팡 이용자 계정이 유출됐다고 밝혔다. 회원 이름, 주소, 전화번호, 이메일, 일부 주문 내역이 유출됐다. 현재 경찰은 외국 국적의 쿠팡 전직원 소행에 무게를 두고 수사 중이다.
이런 가운데 쿠팡이 해커로부터 “회원들의 개인정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 협박 이메일을 받았다는 보도가 나왔다.
▲쿠팡이 회원 정보를 탈취한 공격자에게 협박 메일을 받았다. [자료: 연합]
“공익 목적이면 굳이 3370만명 탈취 불필요”
이를 두고 전문가들은 “실제로는 개인적 목적이 있는 범죄를 저질렀으면서 대외적으로는 정당해 보이도록 이미지를 희석하려는 의도”라고 공통적으로 지적한다. 마치 윤리적 해커인 양 대중의 시선을 현혹하기 위한 기만 행위로, 비윤리적 목적의 사이버 공격을 자행한 이들이 종종 하는 행동이라는 설명이다.
윤리적 해커들 간에는 ‘책임감 있는 공개’(Responsible Disclosure)라는 문화가 있다. 악의적 해킹으로 피해를 입었으나 아직 인지하지 못한 당사자에게 이메일 등을 통해 공격 당한 사실을 미리 알려주면서 대응할 수 있게 도움을 주는 일종의 표준 절차다.
8월 글로벌 보안 잡지 ‘프랙’(Phrack)을 통해 한국 정부와 기업이 국가 배후 해킹 공격을 받은 사실을 알린 독립 해커 세이버(Saber)가 한국에 보낸 이메일이 ‘책임감 있는 공개’의 대표적 사례다. 당시 세이버는 방첩사, 한국인터넷진흥원, 통일부 등에 해킹 사실을 알리며 대응이 필요하다고 메일로 조언했다.
이번에 쿠팡이 받은 협박 메일은 얼핏 유사점이 있어 보이지만 전혀 다르다.
오펜시브 사이버보안 기업 티오리 박세준 대표는 “일반적인 해커들의 ‘책임감 있는 공개’는 위협보다는 협력을 통해 사용자 보호를 최우선으로 하며, 충분한 시간을 주고 조치 완료된 후 또는 조치 의사가 없거나 약할 경우 공익을 위해 공개한다”며 “쿠팡 공격자는 공익적 목적이라기보다는, 의도와 방식이 본질에서 벗어난 것으로 보인다”고 말했다.
박 대표는 “보안 강화가 목적이었다면 최소한의 취약점 증명만으로도 파급력 전달이 되는데, 굳이 3370만건이나 되는 방대한 양을 반출한 뒤에 연락을 취한 점은 납득하기 어렵다”고 설명했다.
“해커 아닌 그냥 범죄자... 수사 좁혀오니 코스프레”
해외에서 활동 중인 한 윤리적 해커는 “범죄자들이 사고를 낸 후 마치 의적인 것처럼 포장하는 행동들을 많이 한다”며 “잡혀서 법정에 서서도 마치 ‘경종을 울리기 위한 행동’이었다는 식으로 진술하곤 한다”고 말했다.
이어 “쿠팡 사고를 낸 이의 수법과 행위는 ‘해커’라고 말할 수 있는 수준도 아니고, 관리 허점을 이용해 개인적 부당 이득을 취하려는 목적이 커 보인다”며 “수사가 좁혀오니 마지 경종을 울리는 행동을 한 것인 양 해커 코스프레를 하는 것”이라고 설명했다.
한편, 최민희 의원은 쿠팡으로부터 제출 받은 자료를 근거로 이번 사고 원인을 내부 직원이 쉽게 접근이 가능하도록 인증키를 방치했기 때문이라고 밝혔다.
이에 대해 쿠팡은 최 의원의 주장을 일부 반박하면서 “수사 중인 상황이라 자세한 언급은 할 수 없다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
“시스템 허점 악용한 개인 이득 목적... 의로운 해커인 양 코스프레”
[보안뉴스 강현주 기자] 쿠팡이 내부 직원 소행으로 추정되는 3370만명의 역대급 개인정보 유출 사고를 당하면서 “보안을 강화하라”는 ‘협박’ 메일을 받은 것으로 알려져 의문을 자아낸다. 보안 커뮤니티 등에선 농담조로 “의적 아닌가요”라는 식으로 회자되고 있다.
이에 대해 윤리적 해커 등 보안 분야 전문가들은 “범죄 행위를 마치 대의 명분이 있는 양 포장하는 행위일 뿐”이라고 일축했다.
쿠팡은 지난달 29일 3370만명의 쿠팡 이용자 계정이 유출됐다고 밝혔다. 회원 이름, 주소, 전화번호, 이메일, 일부 주문 내역이 유출됐다. 현재 경찰은 외국 국적의 쿠팡 전직원 소행에 무게를 두고 수사 중이다.
이런 가운데 쿠팡이 해커로부터 “회원들의 개인정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 협박 이메일을 받았다는 보도가 나왔다.
▲쿠팡이 회원 정보를 탈취한 공격자에게 협박 메일을 받았다. [자료: 연합]
“공익 목적이면 굳이 3370만명 탈취 불필요”
이를 두고 전문가들은 “실제로는 개인적 목적이 있는 범죄를 저질렀으면서 대외적으로는 정당해 보이도록 이미지를 희석하려는 의도”라고 공통적으로 지적한다. 마치 윤리적 해커인 양 대중의 시선을 현혹하기 위한 기만 행위로, 비윤리적 목적의 사이버 공격을 자행한 이들이 종종 하는 행동이라는 설명이다.
윤리적 해커들 간에는 ‘책임감 있는 공개’(Responsible Disclosure)라는 문화가 있다. 악의적 해킹으로 피해를 입었으나 아직 인지하지 못한 당사자에게 이메일 등을 통해 공격 당한 사실을 미리 알려주면서 대응할 수 있게 도움을 주는 일종의 표준 절차다.
8월 글로벌 보안 잡지 ‘프랙’(Phrack)을 통해 한국 정부와 기업이 국가 배후 해킹 공격을 받은 사실을 알린 독립 해커 세이버(Saber)가 한국에 보낸 이메일이 ‘책임감 있는 공개’의 대표적 사례다. 당시 세이버는 방첩사, 한국인터넷진흥원, 통일부 등에 해킹 사실을 알리며 대응이 필요하다고 메일로 조언했다.
이번에 쿠팡이 받은 협박 메일은 얼핏 유사점이 있어 보이지만 전혀 다르다.
오펜시브 사이버보안 기업 티오리 박세준 대표는 “일반적인 해커들의 ‘책임감 있는 공개’는 위협보다는 협력을 통해 사용자 보호를 최우선으로 하며, 충분한 시간을 주고 조치 완료된 후 또는 조치 의사가 없거나 약할 경우 공익을 위해 공개한다”며 “쿠팡 공격자는 공익적 목적이라기보다는, 의도와 방식이 본질에서 벗어난 것으로 보인다”고 말했다.
박 대표는 “보안 강화가 목적이었다면 최소한의 취약점 증명만으로도 파급력 전달이 되는데, 굳이 3370만건이나 되는 방대한 양을 반출한 뒤에 연락을 취한 점은 납득하기 어렵다”고 설명했다.
“해커 아닌 그냥 범죄자... 수사 좁혀오니 코스프레”
해외에서 활동 중인 한 윤리적 해커는 “범죄자들이 사고를 낸 후 마치 의적인 것처럼 포장하는 행동들을 많이 한다”며 “잡혀서 법정에 서서도 마치 ‘경종을 울리기 위한 행동’이었다는 식으로 진술하곤 한다”고 말했다.
이어 “쿠팡 사고를 낸 이의 수법과 행위는 ‘해커’라고 말할 수 있는 수준도 아니고, 관리 허점을 이용해 개인적 부당 이득을 취하려는 목적이 커 보인다”며 “수사가 좁혀오니 마지 경종을 울리는 행동을 한 것인 양 해커 코스프레를 하는 것”이라고 설명했다.
한편, 최민희 의원은 쿠팡으로부터 제출 받은 자료를 근거로 이번 사고 원인을 내부 직원이 쉽게 접근이 가능하도록 인증키를 방치했기 때문이라고 밝혔다.
이에 대해 쿠팡은 최 의원의 주장을 일부 반박하면서 “수사 중인 상황이라 자세한 언급은 할 수 없다”고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
