영국 통신사 토크토크 사태, 17세 소년 진범인 듯... 내달 재판
사소한 장난으로 시작해 15만 개인정보 새나가기까지...허술함의 표본
[보안뉴스 문가용 기자] 영국의 인터넷 통신사 및 방송국인 토크토크(TalkTalk)의 해킹 사태에 대해 ‘내가 한 짓’이라고 한 17살 소년이 자백했다. 동기는 친구들에게 자랑하기 위한 것으로 밝혀졌다. 영국 법상 이름이 공개되지는 않겠지만, 이 17살 소년에게는 7가지 혐의가 걸려 있으며 다음 달 재판이 시작될 것이라고 BBC는 보도했다.
그 소년은 “결과의 심각성에 대해서 전혀 생각해보지 않았으며, 그저 친구들에게 내 능력을 보여주고 싶었다”고 진술했다고 한다. “그저 엉뚱하고 철없는 에너지 발산을 한 것이며, 다시는 이런 일을 저지르지 않겠습니다. 이번 일로 많은 깨달음을 얻었습니다.”
영국에는 컴퓨터남용법(Computer Misuse Act)라는 것이 있어 해킹 범죄를 엄중히 다루는 편이기도 하고, 이 소년은 맨체스터대학과 캠프리지대학에 대한 해킹을 한 전적도 있는 것으로 알려져 있지만, 다음 달 재판에서 징역형을 받을 가능성은 낮은 것으로 보인다.
여기서 언급되고 있는 이른바 토크토크 해킹 사태는 2015년 10월에 발생한 사이버 공격 사건으로, 이 때문에 토크토크 고객들 중 약 15만 명의 개인정보가 새나갔으며 이 중 1만 5천명 이상의 금융정보가 도난당하기도 했다. 당시 공격자가 간단한 SQL 인젝션 오류를 악용한 것으로 보고, 영국 경찰은 연쇄적으로 여러 10대 청소년들을 체포했지만 진범을 밝혀내는 데에는 실패했다.
또한 간단한 SQL 인젝션 오류로 인해 작지 않은 사고가 발생한 것도 크게 이슈가 되었다. 특히 ISP 업체 특성상 정보보안에 대해 더 잘 알고, 더 철저히 할 줄 알 것으로 의례히 여겨지는 곳에서 대단히 기본적인 공격을 허용했다는 것도 충격으로 다가왔다. 고객들의 실망 역시 이만저만이 아니었다.
심지어 해당 오류에 대한 픽스도 이미 오래 전부터 존재했었던 것이 수사 과정 중에 드러나기도 했다. 토크토크가 기본적인 오류가 있음을 알고도 방치했거나, 알아차리지도 못했다는 것으로밖에는 설명이 되지 않는 부분이다. 그 결과, 토크토크 사건이라고 하면 ‘보안에 투자하지 않았을 때 생기는 결과’의 대명사처럼 언급되고 있다.
그래서 최근 영국 정부는 토크토크에 40만 파운드라는 벌금형을 내리기도 했다. 또한 토크토크는 해당 사고로 인해 약 8천만 파운드의 손실을 볼 것이라고 발표하기도 했다. 해당 사고로 인한 거래량 축소, 고객 신뢰 하락, 복구 비용 등을 전부 포함한 예상 비용이 그 정도라는 것이다. 토크토크의 CEO인 디도 하딩(Dido Harding)은 사건이 터진고 1년이 지난 시점에서 “그 후로 많은 보완과 수정이 있었다”고 발표했다.
현재 영국 경찰은 이 소년과 다른 여섯 명의 용의자들과의 공조가 있었는지, 서로에 대한 연결고리가 있는지 수사를 벌이고 있는 중이다.
보통 정보보안이라고 하면 미국 NSA의 감시나 동유럽의 천재 해킹 범죄자들이 감행하는 사상초유의 사태를 막는 것이라고 생각하는데, 실상은 그렇지 않다. 해커들이라고 모두 영화에 나오는 천재들이 아니며, 오히려 ‘호기심’이나 ‘반쯤 장난’으로 해킹을 시도해보는 어린 연령대의 사람들이 더 많다. 그러나 미숙한 공격이라고 해서, 장난처럼 가볍게 웃어넘길 수 있는 결과만이 초래되는 건 아니다. 의도된 천재의 해킹이나, 장난으로 시작한 고등학생의 해킹이나 결과는 마찬가지로 치명적이다.
그렇기에 정보보안은 이런 장난질에 어이없이 당하는 일을 막는 것에 더 집중하는 것이 맞다. 이미 널리 알려진 취약점과 대조해보며 기본적인 오류들을 탐색하는 것, 그리고 그에 대한 조치를 취하는 것 모두 이런 맥락에서 반드시 필요한 일이 되는 것이다. 40만 파운드라는 어마어마한 벌금형으로 일단락된 토크토크 사태가 겨우 17세 소년의 장난으로 시작된 일이라는 것이 좋은 교훈으로 남는 이유다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
사소한 장난으로 시작해 15만 개인정보 새나가기까지...허술함의 표본
[보안뉴스 문가용 기자] 영국의 인터넷 통신사 및 방송국인 토크토크(TalkTalk)의 해킹 사태에 대해 ‘내가 한 짓’이라고 한 17살 소년이 자백했다. 동기는 친구들에게 자랑하기 위한 것으로 밝혀졌다. 영국 법상 이름이 공개되지는 않겠지만, 이 17살 소년에게는 7가지 혐의가 걸려 있으며 다음 달 재판이 시작될 것이라고 BBC는 보도했다.
그 소년은 “결과의 심각성에 대해서 전혀 생각해보지 않았으며, 그저 친구들에게 내 능력을 보여주고 싶었다”고 진술했다고 한다. “그저 엉뚱하고 철없는 에너지 발산을 한 것이며, 다시는 이런 일을 저지르지 않겠습니다. 이번 일로 많은 깨달음을 얻었습니다.”
영국에는 컴퓨터남용법(Computer Misuse Act)라는 것이 있어 해킹 범죄를 엄중히 다루는 편이기도 하고, 이 소년은 맨체스터대학과 캠프리지대학에 대한 해킹을 한 전적도 있는 것으로 알려져 있지만, 다음 달 재판에서 징역형을 받을 가능성은 낮은 것으로 보인다.
여기서 언급되고 있는 이른바 토크토크 해킹 사태는 2015년 10월에 발생한 사이버 공격 사건으로, 이 때문에 토크토크 고객들 중 약 15만 명의 개인정보가 새나갔으며 이 중 1만 5천명 이상의 금융정보가 도난당하기도 했다. 당시 공격자가 간단한 SQL 인젝션 오류를 악용한 것으로 보고, 영국 경찰은 연쇄적으로 여러 10대 청소년들을 체포했지만 진범을 밝혀내는 데에는 실패했다.
또한 간단한 SQL 인젝션 오류로 인해 작지 않은 사고가 발생한 것도 크게 이슈가 되었다. 특히 ISP 업체 특성상 정보보안에 대해 더 잘 알고, 더 철저히 할 줄 알 것으로 의례히 여겨지는 곳에서 대단히 기본적인 공격을 허용했다는 것도 충격으로 다가왔다. 고객들의 실망 역시 이만저만이 아니었다.
심지어 해당 오류에 대한 픽스도 이미 오래 전부터 존재했었던 것이 수사 과정 중에 드러나기도 했다. 토크토크가 기본적인 오류가 있음을 알고도 방치했거나, 알아차리지도 못했다는 것으로밖에는 설명이 되지 않는 부분이다. 그 결과, 토크토크 사건이라고 하면 ‘보안에 투자하지 않았을 때 생기는 결과’의 대명사처럼 언급되고 있다.
그래서 최근 영국 정부는 토크토크에 40만 파운드라는 벌금형을 내리기도 했다. 또한 토크토크는 해당 사고로 인해 약 8천만 파운드의 손실을 볼 것이라고 발표하기도 했다. 해당 사고로 인한 거래량 축소, 고객 신뢰 하락, 복구 비용 등을 전부 포함한 예상 비용이 그 정도라는 것이다. 토크토크의 CEO인 디도 하딩(Dido Harding)은 사건이 터진고 1년이 지난 시점에서 “그 후로 많은 보완과 수정이 있었다”고 발표했다.
현재 영국 경찰은 이 소년과 다른 여섯 명의 용의자들과의 공조가 있었는지, 서로에 대한 연결고리가 있는지 수사를 벌이고 있는 중이다.
보통 정보보안이라고 하면 미국 NSA의 감시나 동유럽의 천재 해킹 범죄자들이 감행하는 사상초유의 사태를 막는 것이라고 생각하는데, 실상은 그렇지 않다. 해커들이라고 모두 영화에 나오는 천재들이 아니며, 오히려 ‘호기심’이나 ‘반쯤 장난’으로 해킹을 시도해보는 어린 연령대의 사람들이 더 많다. 그러나 미숙한 공격이라고 해서, 장난처럼 가볍게 웃어넘길 수 있는 결과만이 초래되는 건 아니다. 의도된 천재의 해킹이나, 장난으로 시작한 고등학생의 해킹이나 결과는 마찬가지로 치명적이다.
그렇기에 정보보안은 이런 장난질에 어이없이 당하는 일을 막는 것에 더 집중하는 것이 맞다. 이미 널리 알려진 취약점과 대조해보며 기본적인 오류들을 탐색하는 것, 그리고 그에 대한 조치를 취하는 것 모두 이런 맥락에서 반드시 필요한 일이 되는 것이다. 40만 파운드라는 어마어마한 벌금형으로 일단락된 토크토크 사태가 겨우 17세 소년의 장난으로 시작된 일이라는 것이 좋은 교훈으로 남는 이유다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
