6월 들어 해외에서 일어난 사이버 협박 범죄사례 5건

[보안뉴스 문가용] 6월은 사이버범죄의 역사에 있어 꽤나 파란만장한 한 달로 기록이 될 것으로 보인다. 각종 랜섬웨어의 등장은 물론 해킹한 데이터를 가지고 돈을 직접 요구한 사례도 빈번했기 때문이다. 사이버범죄에 있어 새로운 방법들이 꾸준히 개발되고 있고 그 칼끝은 민간사업체뿐 아니라 국가기관도 겨누고 있다. 이들의 공통점은 하나로 데이터를 훔치고, 이 훔친 데이터를 대중에게 뿌려버리겠다는 협박을 가한다는 것이다.


공격자들은 데이터를 암호화해서 데이터의 본 소유자들이 열람을 할 수 없게 만들어 버리고, 공격을 받은 쪽에서 돈을 낼 때까지 가지고 있다가 거래가 성사되지 않을 경우 협박 그대로 대중들 사이에 뿌려버린다. 다음은 6월 한 달간 일어났던 사이버 협박 범죄 5건을 정리한 것이다.

1. 코드 스페이스(Code Spaces)
사건 개요 : 코드 호스팅 업체인 코드 스페이스는 지난주 사업 자체를 그만둘 수밖에 없는 위치로 몰렸다. 시작은 디도스 공격이었다. 과거에 이미 수차례 겪어본 적이 있는 디도스라 코드 스페이스측은 크게 긴장하지 않았지만 이번엔 달랐다. 디도스를 뿌린 해커는 코드 스페이스의 아마존 E2 계정까지 탈취한 후 데이터를 손에 쥐고 돈을 요구했다.

결과 : 코드 스페이스는 요구에 응하지 않았다. 그리고 오히려 해커가 탈취한 계정을 되찾고자 적극적인 응대를 시작했다. 그러나 이를 예상이라도 한 듯 해커는 백업 계정을 만들었기 때문에 여전히 로그인을 할 수 있었고 보복의 하나로 데이터를 지우기 시작했다. 코드 스페이스측에 따르면 “대부분의 데이터, 백업, 기기 설정, 회사 바깥에 저장한 백업 자료들이 날아갔다” 고 알려졌다. 문을 닫을 수밖에 없었다는 것.

2. 노키아 사건 개요 : 사이버 협박 범죄가 눈에 띄게 자라고 있는 건 사실이지만 그렇다고 이게 전혀 새로운 종류의 범죄는 아니다. 지난 주 2007년에 있었던 협박사건 때문에 노키아 측에서 수백 유로에 달하는 돈을 지불한 것으로 드러났다. 해커는 심비안 OS의 암호화키를 훔쳐내는 데 성공한 후 노키아가 돈을 내지 않으면 대중에게 그 암호화 키를 밝힐 것이라고 협박했다. 이는 단순히 심비안의 비밀키가 드러나는 게 문제가 아니라 비밀키가 드러난 심비안을 통해 많은 범죄가 야기될 수 있다는 결과의 어마어마한 파급력이 문제였다.

결과 : 회사는 일단 핀란드 수사국에 사건을 의뢰했다. 하지만 크게 도움이 되지 않았다. TV나 영화에 나올만한 일들이 연속해서 일어났고 결국 노키아는 수백 만 유로가 든 가방을 어느 공원에 놔두고 나왔고 경찰들은 누가 집어 가는지에 주목했다. 하지만 신출귀몰한 이 해커는 아무런 흔적도 없이 돈만 낚아채갔다.

3. 피들리(Feedly) 사건 개요 : RSS 피드를 제공하는 피들리는 이번 달 감행된 디도스 공격 때문에 사이트 문을 얼마간 닫아야 했다. 공격자는 디도스 공격 후 협박 메일을 보내 돈을 내면 공격을 멈추겠다고 했다. 하지만 피들리는 오히려 이 사건을 대중에게 발표하고 이 해커에 대응해 싸우겠다고 했다. 그러면서 자기들에게는 든든한 동맹군과 권력의 지원이 있어 절대 지지 않을 것이라는 것도 덧붙였다.
결과 : 피들리는 발표 그대로 콘텐츠 네트워크 제공자와 함께 손을 잡고 공격적으로 대응했다. 그래서 반응도 빨랐다. 범죄자에게 재빠르고 효과적인 대응을 한 사건이라 특이하다면 특이하다고 볼 수 있는 사건이다. “저희는 굴응하지 않을 것이며 현재 네트워크 제공자와 함께 공격을 감소시키고 있습니다. 고객 여러분의 데이터는 아직 안전히 보관되어 있으며 조만간 피들리에 다시 접속하실 수 있을 것입니다”라고 피들리의 대표인 에드윈 코다바키안(Edwin Khodabakchian)이 당시 발표했다.

4. 원 모어 클라우드(One More Cloud)
사건 개요 : 웹솔러(Websolr)와 본자이(Bonsai)라는 검색 앱 인프라스트럭처를 제공하는 원 모어 클라우드는 이번 달 코드 스페이스와 비슷한 일을 겪었다. 공격자는 이 회사의 AWS EC2 계정을 탈취하고 이를 바탕으로 회사의 데이터 기반을 무너트리겠다고 협박해온 것.

결과 : 하지만 코드 스페이스와는 달리 원 모어 클라우드에서는 침투가 있었던 API 접근키의 위치를 빠르게 파악해냈다. 그러면서 공격자가 더 이상 계정을 제어할 수 없도록 조치를 취했다. 그래서 원 모어 클라우드는 주말 동안 데이터를 전부 복귀시킴과 동시에 서비스를 재개할 수 있었다.

5. 도미노피자
사건 개요 : 렉스 문디라는 해킹 그룹은 도미노피자 사이트를 공격해 고객 정보를 어느 정도 유출하는 데에 성공했다고 발표했다. 정보를 탈취당한 고객의 수는 650,000명에 달하며 렉스 문디는 웹 사이트를 공략해 해킹에 성공했다고 했다. 그러면서 MD5 해시만을 사용해 데이터를 암호화 한 채로 방치시킨 도미노피자측의 안일함에도 화살을 돌렸다. 렉스 문디는 다음 월요일까지 3만 유로를 낼 것을 요구해왔다.

결과 : 도미노는 이 요구를 거절했다. 그리고 고객들에게 메시지를 보내며 아직 금융 정보는 하나도 유출되지 않았음을 강조했다. 아직까지는 연락처, 암호, 배달시 주의사항 등만 해커가 퍼갔다는 뜻이다. 또한 도미노는 고객들에게 암호 변경을 권고했다. 재미있는 사실은 렉스 문디가 협박을 통해 실제로 돈을 벌어본 일이 없다는 것이다.
[보안뉴스 문가용] 마이크로소프트는 한국 기준으로 23일 기업 및 조직들끼리 해킹 공격에 관한 정보를 공유하게 해주는 정보 공유 플랫폼을 개발했다고 발표했다. 이 플랫폼은 마이크로소프트의 애져(Azure)라고 불리는 클라우드 서비스에 기반하고 있으며 이름은 인터플로우(Interflow)로 사건 대응 담당자와 보안 전문가들을 위해 특별히 마련되었다.
“사건을 제1선에서 접하는 대응 담당자들과 정보를 더 효과적이고 자동적으로 공유할 수 있는 방법이 필요했습니다. 그 필요를 쫓다보니 인터플로우와 같은 플랫폼을 완성할 수 있었던 것이죠.” 마이크로소프트의 신뢰할 수 있는 소프트웨어 발의 전략(Microsoft Trustworthy Computing)을 담당하고 있는 수석 보안 전략가 제리 브라이언트(Jerry Bryant)의 설명이다. “이 플랫폼 덕분에 지식 공유 과정이 좀 더 자동화 될 수 있었습니다.”
브라이언트는 클라우드 기반 플랫폼인 애져가 원래는 정보 검색(Information Retrieval) 커뮤니티를 위해 디자인됐다고 설명했다. 그래서 데이터 피드 자체는 무료이지만 사용자는 애져에 정액을 내야만 이 데이터 피드를 받아볼 수 있는 방식이다. 인터플로우는 개방형 표준에 기반하고 있어 정보의 공유가 일정하고 균일하게 이루어지며 정보가 기계의 언어로 변환되어 방화벽, IDS, IPS, SIEMS 등에 자동으로 피드된다.
그 동안은 방위 산업, 금융 서비스, 건강 보험, 소매업과 같은 산업의 종사자들은 ‘그들만의 리그’를 형성해 정보를 교환해왔다. 자기들만의 정보 교환 체제를 보유하고 있을 뿐 아니라 해당 산업에만 유용한 정보를 다루는 그들만의 정보 보호 업무 수행 기관(ISAC)까지도 형성했었다. 멀웨어, IP 주소, 여러 증거물 등 위협에 대한 정보를 공유한다는 건 나쁜 놈들에 맞서는 착한 놈들의 합리적인 방어책이었다.
하지만 이런 식으로 꽁꽁 뭉친 조직들이 정보를 공유하는 방식은 무척이나 원시적이었다. 주고받는 정보의 내용을 들여다보면 악성 IP 주소, 악성 파일 해시, 악성 URL, 악성 이메일 주소가 주를 이뤘는데도 말이다. 이게 뭐가 문제냐면, 이런 종류의 정보는 ‘타이밍’이 생명인데 원시적인 방식으로 주고받다 보면 정보가 유효한 ‘타이밍’을 지나치기 일쑤라는 것이다.
기업체의 70%가 이런 정보가 가진 ‘타이밍’에 동의한다. 수분 혹은 수초 내에 가치가 사라지는 정보라는 게 분명 있다는 것이다. 그런데 이런 정보가 며칠 혹은 몇 주 내에 도착한다면, 그 정보는 이미 쉬어빠진 것이나 다름이 없다. 그렇다고 정보 공유란 것이 말처럼 쉽고 간단한 것이 아니다. 정보를 공유함에 있어 여러 가지 법적 혹은 시장 경쟁에 입각한 ‘고민거리’들이 수반되기 때문이다.
또한 정보가 너무 많이 돌아다니는 것도 고민이다. 금융 산업 분야 ISAC 회원인 DTCC의 위기 관리 책임자 마크 클랜시(Mark Clancy)는 분석가들의 보고서 중 상당 부분이 여전히 여러 정보를 ‘잘라 붙이’거나 ‘복사해 붙이기’로 만들어진다고 한다. “4년 전만해도 이런 식의 보고서 만들기는 꿈도 꿀 수 없었습니다. 아무도 정보를 공유하지 않았기 때문이죠. 하지만 지금은 사용 가능한 정보가 너무 많아서 규칙을 세워야 할 정도입니다. 그런 세부 규칙 없이는 정보의 혼돈 속에 빠지기 십상이거든요.”
그래서 자연스럽게 이런 ‘정보의 홍수’를 정리할 수 있는 방법들이 등장하고 있다. STIX(Structured Threat Information eXpression : 구조화된 위협 정보 표현)와 TAXII(Trusted Automated eXchange of Indicator Information : 신뢰할 수 있는 지표 정보 공유 자동화)가 대표적이다. 이 둘이 표준이 되어 데이터의 효과적인 ‘소화’를 가능하게 해주고 있는 분위기가 조금씩 형성되고 있다. 마이크로소프트가 이번에 발표한 인포플로우는 STIX를 활용해 정보를 분석하고 TAXII를 활용해 분석 정보 전송 프로토콜을 설정했다. 이외에 CybOX(Cyber Observable eXpression : 사이버 관찰 표현)이란 것도 함께 활용했다.
“이렇게 업계 선두에 선 기업에서 표준이 되어가는 툴과 언어를 활용했다는 건 긍정적인 현상입니다. 주류 콘텐츠를 대규모로 생산하는 곳에서도 점점 이에 따를 것이라고 봅니다.” 클랜시의 설명이다. 보안 전문가들 역시 마이크로소프트가 STIX, TAXII, CybOX를 고루 활용했기 때문에 자동화 정보 공유 시스템이 더 빨리 정착될 것이라고 전망하고 있다.
마이크로소프트의 브라이언트 씨는 인터플로우의 API 덕분에 위협 혹은 공격 정보의 E2E(end to end) 자동화가 가능해질 것이나 이 플랫폼만으로 ISAC 등의 다른 체제를 대체할 수는 없을 것이라고 했다. “같은 분야에 있는 기업 및 업체끼리만 정보를 나눴었는데, 이젠 인터플로우로 그 경계를 허물고자 합니다. 이 ISAC에서 저 ISAC으로의 정보 교환도 가능해질 수 있는 풍토를 조성하고 싶은 것이죠. 인터플로우는 한 마디로 어떤 시스템이라도 연결시켜주고 기계와의 대화를 이어주는 ‘통역기’와 같은 역할을 하고 싶은 것입니다.”
마이크로소프트는 이미 인터플로우를 회사 시스템에 깔고 운영하는 중이다. 마이크로소프트의 파트너 업체들 중 몇몇이 여기에 합류했고 여기엔 방어 통합 보안 솔루션 전문 업체인 파이어아이(FireEye)도 끼어있다. 덕분에 마이크로소프트를 끼고 인터플로우에 합류한 업체들은 파이어아이가 감지한 공격 정보를 보다 빠르고 신속하게 받아볼 수 있다. “정보 공유의 자동화가 코앞으로 다가왔습니다.”
멀웨어바이츠(Malwarebytes)의 멀웨어 정보부장인 아담 쿠자와(Adam Kujawa)는 “정보 공유의 가장 큰 문제는 ‘정보 처리 방법’에 있습니다. 마이크로소프트가 이를 빠르게 캐치해서 해결하려고 한 듯이 보입니다. 사용자들은 이제 정보를 모으거나 출력하는 등 ‘정보를 다루는 것’ 자체를 보다 쉽게 할 수 있을 것입니다. 정보 처리에만 능숙해져도 지금보다 더 많은 정보가 쓰레기처럼 버려지는 일은 줄어들 것입니다.”
ⓒDARKReading
[국제부 문가용 기자(globoan@boannews.com)]