계정 5억건 유출된 야후, “범죄단체 소행” 주장 나와

2016-09-30 11:05
  • 카카오톡
  • 네이버 블로그
  • url
직접 해킹을 한 건 사이버 범죄자 갱단... 정부 후원 해커는 구매자
최근 일어난 SNS 해킹 사건들과도 연관성 있을 듯


[보안뉴스 문가용] 야후의 사용자 계정 5억 건이 유출되는 사건으로 보안 업계가 떠들썩하다. 하지만 야후가 ‘국가의 후원을 받은 해커들의 소행’이라는 결론을 공식 발표함으로써 사건은 수사기관의 뒷단으로 넘어가는 듯 했다. 그러나 인포아머(InfoArmor)라는 보안 전문업체의 연구원들이 야후의 발표를 공식 반박함으로써 논란이 재점화되고 있다.


▲ 뭔가 비대해져가는 뿌리

인포아머의 CIO인 앤드류 코마로프(Andrew Komarov)는 “야후를 해킹한 건 정부와 관련된 해킹 단체가 아니라 동유럽의 사이버 범죄 단체”라고 주장했다. 이 단체는 “2012년과 2013년에도 마이스페이스(MySpace), 텀블러(Tumblr), 링크드인(LinkedIn) 등 덩치 큰 표적들을 대상으로 비슷한 짓을 한 바 있다.” 범죄 단체들이 그렇게 모은 정보들을 “동유럽 정부와 관계를 맺고 있는 사이버 스파이 단체가 후에 구매했을 뿐”이라는 게 코마로프의 주장이다.

야후의 주장이 사실이든 인포아머의 주장이 사실이든 결국 정부와 관계된 해커 조직의 손에 최종적으로 야후의 사용자 계정 정보가 들어갔다는 것으로 귀착된다. 양측의 주장이 갈리는 건 누가 직접 손을 더럽혔느냐, 이다. 하지만 중요한 건 누가 직접 더러운 일을 하든 사이버 범죄단과 국가 조직이 연루된 사이버 스파이 단체의 구분이 점점 힘들어지고 있다는 점이다. 이미 수년 전부터 보안 전문가들 사이에서는 이 경계선의 흐려짐에 대한 경고가 나왔었다.

아직 야후는 인포아머의 주장에 대해 공식적인 대응을 하지 않고 있는 상태다. 인포아머는 주장의 근거 및 조사 자료를 야후와 공유하지는 않았지만, 관련 사법 기관에는 다 제출한 상태라고 한다. 또한 인포아머는 러시아를 범인으로 지목하고 있지 않다는 것 또한 특이하다. 다만 정부 해킹 단체와 접선을 시도한 사이버 범죄 갱단이 러시아어를 구사한다고만 설명했다. 인포아머의 보다 정확한 주장에 의하면 이 사건에 연루된 갱단은 크게 두 개이며 영어를 구사하는 갱단의 이름은 헬 포럼(Hell Forum)이고, 러시아어를 구사하는 쪽은 그룹 E(Group E)라고 한다. 러시아어 구사 갱단 두목의 별명이 E로 시작하는데, 여기서 따왔다고 한다.

또한 인포아머는 헬 포럼의 핵심 멤버가 다름 아닌 애슐리 메디슨(Ashley Madison), 어덜트프렌드파인더(AdultFriendFinder)라는 불륜 조장 사이트를 비롯, 터키경찰국까지도 해킹한 장본인이라고 주장한다. 두 갱단 사이의 거래를 조절하는 중간 브로커는 tessa88이란 ID를 사용하며, 이 tessa88은 야후 계정정보를 판매한다는 걸 제일 처음 공지한 인물이라고 한다. 최후에 국가와 연결된 해커 단체에게 이 정보를 판 것 역시 이 사람이다.

“직접 해킹을 한 것은 범죄자들이었고, 그 범죄자의 클라이언트 중 하나가 국가 해킹 단체였다는 것이죠.” 코마로프가 자신의 주장을 정리한다. “정부가 특수 임무를 하기 위해 직접적이든 간접적이든 음지의 세력들과 손을 잡기도 합니다만, 직접 담당자들이 대면하지는 않습니다. 이번 사건에서도 브로커를 활용한 것으로 보아 그런 것이 분명합니다.” 사이버 범죄자들과 손을 잡는 이유는 투자 대비 효율이 좋을 수 있기 때문이라고 코마로프는 설명을 덧붙였다.

스트레티직 사이버 벤처스(Strategic Cyber Ventures, SCV)의 CEO인 톰 켈러만(Tom Kellermann)은 “러시아 정부가 이런 사이버 ‘용병’을 고용하는 건 흔한 일”이라고 말한다. 즉 이번 인포아머의 주장이 사실이라고 밝혀진다 한들 전혀 놀랄 게 없다는 것이다. “폰 스톰(Pawn Storm)이라는 사이버 스파이 그룹도 사이버 범죄단체와 손 잡을 때가 많습니다. 공격이 가능한 목록을 범죄자들에게 공개하면, 이들이 뒷문을 열어놓고, 거길 통해서 정부 기관 해커들이 들어가 필요한 데이터를 탈취하는 것이죠.”

인포아머는 정부의 후원을 받거나 정부가 직접 운영하는 해킹 단체가 야후 정보를 어떤 식으로 활용할지에 대해서는 뚜렷하게 밝히지 않고 있다. 다만 이런 정보들을 활용해 정부 관계자 및 요원들을 직접 타격하는 게 가능하다고만 설명할 뿐이다. “2015년 10월 미국 첩보기관 담당자 한 명의 이메일 및 연락처를 위키리크스(WikiLeaks)가 공개한 사건이 있었는데요, 그것과 이번 야후 사건이 연결되어 있을 가능성이 높아 보입니다. 그 메일 주소 역시 야후 계정이었거든요.”

피스(Peace)는 가짜?
인포아머의 코마로프는 8월에 피스라는 해커가 야후 계정 2억 건을 판매 중에 있다고 광고하기 시작한 것이 거짓말이라고 주장한다. “말만했지 실제로 데이터를 내놓지 않았습니다. 구체적으로 말하면, 피스가 직접 발굴한 것으로 보이는 오리지널 데이터가 없었다는 겁니다. 이전 해킹 사건들로 유출된 정보들 중 야후와 관련된 것만 모은 것이었죠. 실제로 값어치가 없다시피 한 데이터였습니다.” 실제로 지난 8월 피스가 시장에 내놓은 내용물을 분석한 보안 전문가 대다수 역시 ‘미심쩍은 데이터’라는 의견이었다. 야후 역시 이 8월의 사건 수사 이후 아무런 조치를 취하지 않았다.

야후가 워낙 이름값이 있어서 대두되고 있지만, 그룹 E의 수많은 피해자 중 하나일 뿐이라고 코마로프는 설명한다. “2012년과 2013년에도 대규모 유출사고가 있었고요, 그때 유출된 정보로 인한 사건사고가 최근에서야 일어나기 시작하고 있습니다. 2016년에 유출된 야후의 수많은 정보들이 몇 년 후에 어떤 사건사고의 형태로 나타날지 아무도 예측할 수 없습니다. 하지만 대형 사고 하나 예약해놓은 건 확실합니다.”

인포아머의 주장이 사실이라면 야후뿐만 아니라 최근 일어났던 대형 SNS 정보유출 사건 역시 그룹 E의 소행이고, “한 그룹의 소행이라고 치면 역대 최고 규모의 해킹 사건”이라고 볼 수도 있다. 이게 단지 ‘야후 사건’이라고 불릴 수 없다는 것이 인포아머가 주장하는 핵심 내용이기도 하다. 아직 보안 커뮤니티에서는 인포아머의 이번 주장에 대해 이렇다 할 반박이나 찬성이 아직 나오지 않고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 아이원코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 아이리스아이디

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 트루엔

    • 인터엠

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 프로브디지털

    • 투윈스컴

    • 스피어AX

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 세연테크

    • 디비시스

    • 주식회사 에스카

    • 구네보코리아주식회사

    • 위트콘

    • 넥스트림

    • 포엠아이텍

    • 동양유니텍

    • 엔피코어

    • 휴네시온

    • 한싹

    • 앤앤에스피

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에이티앤넷

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 모스타

    • 두레옵트로닉스

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 엔에스티정보통신

    • 레이어스

    • 보문테크닉스

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기