시스템 모니터링 및 사용자 모니터링 같은 기본 장치도 마련되어 있지 않아
비밀번호 공유도 일상...사건 발생하고 1년이 지나도록 아무도 몰랐던 것도 비판받아
[보안뉴스 문가용 기자] 2016년 CIA에서 발생한 대규모 데이터 침해 사건과 관련된 내부 보고서가 발표됐다. 이 침해 사고로 인해 위키리크스(WikiLeaks)는 볼트7(Vault 7)이라는 문건을 공개했고, 이를 통해 CIA의 기밀과 해킹 도구들이 세상에 공개되었다. 이런 큰 일이 벌어지게 된 이유는 해커들이 잘 해서라기보다 CIA의 안일한 보안 상태 때문이었다고 한다.
[이미지 = utoimage]
보고서는 미국 사법부가 내부적으로 수사하고 완성시킨 것으로, 지난 화요일 론 와이든(Ron Wyden) 상원 의원이 일부 내용을 공개했다. 이중 “CIA는 새로운 해킹 도구들을 개발하는 데에 너무 집중한 나머지 스스로를 보호하는 일에는 무관심했다”는 내용이 주로 지적되고 있다.
“사이버 무기 개발 전담 부서는 따로 분리되어 있지도 않았고, 보안 담당자들과 시스템 관리자들은 관리자 계정 비밀번호를 전부 알고 있었다고 한다. 알면 안 되는 사람들까지도 비밀번호를 공유한 것으로 드러났다. 민감한 정보가 저장된 시스템도 모니터링 되지 않고 있었고, 이력을 기록한 데이터들은 무한정 공개된 상태였다.
보고서는 “CIA는 처리해야 할 임무의 수가 방대하게 불어나고, 또 처리 기술이 너무나 빨리 바뀌기 때문에, 사이버 보안 도구와 무기들을 개발하고 구축하는 데 많은 자원을 투자해야 했고, 이 때문에 보안이라는 값을 지불했다”고 결론을 내리고 있다. “매일처럼 실행해야 하는 보안 실천 수칙은 거의 사라진 상태였습니다.”
2016년 해킹 사건을 통해 CIA는 최소 180 기가바이트, 최대 34 테라바이트의 정보를 도난당했다. 1160만~22억 장의 문건에 해당하는 양이라고 보고서는 지적했다. 이 사건은 CIA 역사상 최악의 도난 사건으로 불리고 있다. 보고서가 비판하는 그대로 CIA의 보안 상태가 얼마나 심각했는지, 침해 사고가 일어나고 데이터가 유출되었는데도 그 사실을 1년이 지나고서야 알았다. 위키리크스가 2017년 3월 볼트7을 공개하면서였다. 위키리크스가 침묵을 지켰다면 아직도 이 사실을 몰랐을 수 있다고 사법부는 보고서를 통해 꼬집었다.
“또한 개발에만 얼마나 치중했던지 침해 사고가 일어났을 때의 대처법이 전혀 마련되지 않은 상태이기도 했습니다. 이런 모든 현상이 지난 수년 간 CIA 내부에서 쌓여 온 보안 경시 문화를 증명하고 있습니다. 생산과 원활한 협업만을 강조했을 때, 보안이라는 값을 계속해서 지불하고 있다는 걸 간과할 때 생기는 일이 바로 이런 것입니다.” 보고서의 내용이다.
심지어 IT 시스템과 디지털 자산의 보안을 전담하는 사람도 없었다고 한다. 보안 담당자가 없으니 누구도 보안 업무를 하지 않았고, 보안 사고 발생 시 아무도 책임을 지려하지 않았다. 따라서 내부자의 수상한 행위 역시 CIA로서는 전혀 상상할 수 없었던 일이었다. (이 해킹 사건은 전 CIA 근무자였던 조슈아 슐트(Joshua Schulte)가 저지른 것으로, 그는 CIA의 해킹 툴을 훔쳐 위키리크스에 전달했다.)
그러면서 사법부는 보안 강화를 위한 제안을 보고서를 통해 전달하기도 했다. 현재까지 공개된 내용 중에는 보안 가이드라인 수정 및 강화, 기밀 정보 처리 방침의 재정립, 공격적인 사이버 보안 도구들의 활용 등이 포함되어 있다.
하지만 와이든 의원은 “사건이 일어난 지 3년이나 지났는데, 아직도 보안 실천 사항이 제대로 지켜지지 않고 있다”며 국가정보국장인 존 랫클리프(John Ratcliffe)에 서신을 보냈다. “이는 모든 정부 기관이 마찬가지입니다. 아직 .gov 도메인 이름들이 다중 인증으로 보호되어 있는 것도 아니고, 디마키라는 피싱 방어 대책이 적극 도입되고 있는 상황도 아니죠. CIA의 그 사건이 그냥 모두에게 루머로만 남은 것 같습니다.” 서신의 내용이다. 그러면서 “왜 CIA는 민간 기업들도 지키는 보안 실천 사항을 무시하느냐”고 물었다.
3줄 요약
1. 2016년 발생한 CIA 해킹 사건 관련 보고서 사법부가 완성시키고 일부 공개됨.
2. 사건이 일어날 수밖에 없었던 건, 수년 동안 CIA 내부 보안 상태가 엉망이었기 때문.
3. 사건 발생 후 1년이 지나도록 아무 것도 몰랐던 CIA, 해킹 툴 개발에만 몰두하며 보안을 간과해왔음.
[국제부 문가용 기자(globoan@boannews.com)]
비밀번호 공유도 일상...사건 발생하고 1년이 지나도록 아무도 몰랐던 것도 비판받아
[보안뉴스 문가용 기자] 2016년 CIA에서 발생한 대규모 데이터 침해 사건과 관련된 내부 보고서가 발표됐다. 이 침해 사고로 인해 위키리크스(WikiLeaks)는 볼트7(Vault 7)이라는 문건을 공개했고, 이를 통해 CIA의 기밀과 해킹 도구들이 세상에 공개되었다. 이런 큰 일이 벌어지게 된 이유는 해커들이 잘 해서라기보다 CIA의 안일한 보안 상태 때문이었다고 한다.
[이미지 = utoimage]
보고서는 미국 사법부가 내부적으로 수사하고 완성시킨 것으로, 지난 화요일 론 와이든(Ron Wyden) 상원 의원이 일부 내용을 공개했다. 이중 “CIA는 새로운 해킹 도구들을 개발하는 데에 너무 집중한 나머지 스스로를 보호하는 일에는 무관심했다”는 내용이 주로 지적되고 있다.
“사이버 무기 개발 전담 부서는 따로 분리되어 있지도 않았고, 보안 담당자들과 시스템 관리자들은 관리자 계정 비밀번호를 전부 알고 있었다고 한다. 알면 안 되는 사람들까지도 비밀번호를 공유한 것으로 드러났다. 민감한 정보가 저장된 시스템도 모니터링 되지 않고 있었고, 이력을 기록한 데이터들은 무한정 공개된 상태였다.
보고서는 “CIA는 처리해야 할 임무의 수가 방대하게 불어나고, 또 처리 기술이 너무나 빨리 바뀌기 때문에, 사이버 보안 도구와 무기들을 개발하고 구축하는 데 많은 자원을 투자해야 했고, 이 때문에 보안이라는 값을 지불했다”고 결론을 내리고 있다. “매일처럼 실행해야 하는 보안 실천 수칙은 거의 사라진 상태였습니다.”
2016년 해킹 사건을 통해 CIA는 최소 180 기가바이트, 최대 34 테라바이트의 정보를 도난당했다. 1160만~22억 장의 문건에 해당하는 양이라고 보고서는 지적했다. 이 사건은 CIA 역사상 최악의 도난 사건으로 불리고 있다. 보고서가 비판하는 그대로 CIA의 보안 상태가 얼마나 심각했는지, 침해 사고가 일어나고 데이터가 유출되었는데도 그 사실을 1년이 지나고서야 알았다. 위키리크스가 2017년 3월 볼트7을 공개하면서였다. 위키리크스가 침묵을 지켰다면 아직도 이 사실을 몰랐을 수 있다고 사법부는 보고서를 통해 꼬집었다.
“또한 개발에만 얼마나 치중했던지 침해 사고가 일어났을 때의 대처법이 전혀 마련되지 않은 상태이기도 했습니다. 이런 모든 현상이 지난 수년 간 CIA 내부에서 쌓여 온 보안 경시 문화를 증명하고 있습니다. 생산과 원활한 협업만을 강조했을 때, 보안이라는 값을 계속해서 지불하고 있다는 걸 간과할 때 생기는 일이 바로 이런 것입니다.” 보고서의 내용이다.
심지어 IT 시스템과 디지털 자산의 보안을 전담하는 사람도 없었다고 한다. 보안 담당자가 없으니 누구도 보안 업무를 하지 않았고, 보안 사고 발생 시 아무도 책임을 지려하지 않았다. 따라서 내부자의 수상한 행위 역시 CIA로서는 전혀 상상할 수 없었던 일이었다. (이 해킹 사건은 전 CIA 근무자였던 조슈아 슐트(Joshua Schulte)가 저지른 것으로, 그는 CIA의 해킹 툴을 훔쳐 위키리크스에 전달했다.)
그러면서 사법부는 보안 강화를 위한 제안을 보고서를 통해 전달하기도 했다. 현재까지 공개된 내용 중에는 보안 가이드라인 수정 및 강화, 기밀 정보 처리 방침의 재정립, 공격적인 사이버 보안 도구들의 활용 등이 포함되어 있다.
하지만 와이든 의원은 “사건이 일어난 지 3년이나 지났는데, 아직도 보안 실천 사항이 제대로 지켜지지 않고 있다”며 국가정보국장인 존 랫클리프(John Ratcliffe)에 서신을 보냈다. “이는 모든 정부 기관이 마찬가지입니다. 아직 .gov 도메인 이름들이 다중 인증으로 보호되어 있는 것도 아니고, 디마키라는 피싱 방어 대책이 적극 도입되고 있는 상황도 아니죠. CIA의 그 사건이 그냥 모두에게 루머로만 남은 것 같습니다.” 서신의 내용이다. 그러면서 “왜 CIA는 민간 기업들도 지키는 보안 실천 사항을 무시하느냐”고 물었다.
3줄 요약
1. 2016년 발생한 CIA 해킹 사건 관련 보고서 사법부가 완성시키고 일부 공개됨.
2. 사건이 일어날 수밖에 없었던 건, 수년 동안 CIA 내부 보안 상태가 엉망이었기 때문.
3. 사건 발생 후 1년이 지나도록 아무 것도 몰랐던 CIA, 해킹 툴 개발에만 몰두하며 보안을 간과해왔음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
