1억 명 피해자 낳은 캐피탈원 침해 사고, 클라우드 보안 인식 바꿔

2022-06-21 17:15
  • 카카오톡
  • url
2019년 미국에 거주 중인 거의 모든 성인들의 개인정보가 유출되는 대형 참사가 발생했다. 다행히 해커는 금방 잡혔고, 지금도 재판이 이어지고 있으며, 최종 판결이 몇 달밖에 남지 않은 상황이다. 클라우드 보안의 인식을 바꾼 사건이지만, 실질적인 향상은 느리기만 하다.

[보안뉴스 문가용 기자] 2019년 미국 전역을 충격에 빠뜨렸던 거대 해킹 범죄인 ‘캐피탈원(Capital One)’ 데이터 침해 사고의 배후에는 36세 테크 전문가가 있었다. 현재 이 인물은 7가지 혐의로 재판을 받는 중인데, 만약 모든 혐의에서 유죄가 인정된다면 최대 20년까지 징역살이를 해야 한다.


[이미지 = utoimage]

이 거대 사건을 일으킨 장본인은 에라틱(erratic)이라는 닉으로 활동하는 해커 페이지 톰슨(Paige Thompson)이며, 당시 캐피탈원 침해 사고를 통해 1억 개의 신용 거래 신청서를 훔쳐내는 데 성공했다. 잘못 설정된 아마존 웹 서비스 스토리지 버킷에 저장되어 있던 데이터들이었다. 사건 직후 캐피탈원이 악성 행위를 추적해 FBI에 제보했고, 톰슨은 곧바로 체포됐다.

톰슨을 기소한 닉 브라운(Nick Brown) 검사는 “페이지 톰슨은 해킹 기술을 활용해 1억 명이 넘는 이용자들의 개인정보를 훔치고, 컴퓨터 서버를 가로채 암호화폐를 채굴했다”고 주장했다. “기업들을 돕는 윤리적 해커와는 거리가 먼 행동으로, 톰슨은 오히려 기업의 실수를 악용해 귀중한 정보를 훔쳐 스스로의 주머니만 채우고자 했습니다.”

톰슨이 취약한 AWS 인스턴스를 우연히 찾아낸 게 아니라 스캐너라는 도구를 활용해 설정이 잘못된 AWS 인스턴스들을 의도적으로 검색했다는 사실도 그에게 불리하게 작용할 예정이다. 여기서 취약한 AWS 인스턴스란 아무런 인증 절차 없이 아무나 접근할 수 있도록 해 둔 상태를 말한다. 톰슨은 약 30개 조직이 보유한 데이터베이스에 침투한 것으로 알려져 있으며, 그 중 하나가 캐피탈원이었다. 침투 후 그는 데이터를 빼돌리기도 했지만 암호화폐 채굴 멀웨어를 심기도 했다.

사법부의 발표문에 따르면 톰슨은 “수백 시간을 이러한 악성 활동에 투자했다”고 하며 “각종 온라인 포럼에 자신의 성과를 자랑하고 떠벌리기도 했다”고 한다. 현재 톰슨에게는 7개의 컴퓨터 및 통신 사기, 보호된 시스템으로의 불법적 접근 등의 혐의가 남아있으나 아이덴티티 도난에 대해서는 무혐의 처리가 된 상태다. 최종 판결은 9월 15일에 있을 예정이다.

그럼에도 클라우드 설정 오류는 세상에 가득해
페이지 톰슨이 일으킨 이 사건은 초대형 해킹 사고이며, 미국 성인 거의 대다수가 이 사건에 피해를 입은 것으로 알려져 있다. 또한 이것이 단순 클라우드 설정 오류로 인해 벌어진 일이라는 것도 잘 알려져 있다. 실제로 캐피탈원은 민감한 정보를 보호 장치 없이 노출시킨 것에 대한 책임이 있다고 판결이 났으며 8천만 달러의 벌금을 냈다. 그 외에도 고객들의 집단소송에 대한 합의금으로 1억 9천만 달러를 지출해야 했다.

보안 업체 넷엔리치(Netenrich)의 수석 위협 헌터인 존 밤베넥(John Bambenek)은 “캐피탈원 사건으로 클라우드 설정과 클라우드 보안에 대한 경각심이 전역에 퍼졌다”고 말한다. “그 전만 하더라도 모든 클라우드 환경의 보안은 클라우드 업체가 책임지는 것이라는 잘못된 개념이 편만했었죠. 피해 보상도 클라우드 업체가 져야 하는 것으로 알고 있던 업체가 많고요. 그러면서 클라우드를 있는 그대로(즉 디폴트 상태로) 놔두어도 안전하다고 인식하던 곳이 대다수였습니다. 하지만 캐피탈원 사건에서 벌금을 낸 건 클라우드 업체가 아니라 캐피탈원이었죠.”

하지만 그런 충격이 실제 보안 강화에 미친 영향력은 미비한 것으로 보인다. 보안 업체 라피드7(Rapid7)이 조사한 바에 의하면 “클라우드 설정 오류 때문에 발생하는 보안 사고는 아직도 지나치게 많다”고 한다. “해커들은 지금 이 순간에도 꾸준히 잘못 설정된 클라우드 저장소와 데이터베이스를 찾아 헤매고 있습니다. 매일 일어나 인터넷을 스캔하는 사람들이 전 세계에 수만~수십만 명입니다. 그런 사람들에게 있어 허술하게 설정된 클라우드를 찾는다는 건 매우 간단한 일입니다. 해킹 기술을 따로 익히지 않아도, 간단한 스캔 도구만 활용하면 손에 돈이 굴러들어오는 겁니다. 보안 설정을 간과하기 때문에 누군가는 불공평할 정도로 쉬운 삶을 살게 되는 것이죠.”

밤베넥은 “클라우드 설정을 제대로 하는 것과 같은 단순한 보안 강화 노력은 자동화 기술로 처리하는 게 좋고, 그 정도 투자는 기업에서 하는 편이 현명하다”고 강조한다. “실수는 누구나 합니다. 클라우드 담당자가 몰라서 접근 설정을 하지 않는 게 아니에요. 다른 일이 많다 보니 어쩌다 빠뜨리는 것이죠. 그런 걸 내부 규정에 의거한 벌칙으로만 해결할 건가요? 매우 비효율적이며 담당자들의 사기라는 것도 전혀 북돋지 못하는 방법입니다.”

다행히 이러한 측면에서 조금씩 나아지는 분위기라는 건 부인하지 못한다고 밤베넥은 설명을 덧붙인다. “클라우드 디폴트 세팅 상태로는 안전하지 않을 수 있다고 알게 된 사람들이 이전보다 많습니다. 클라우드 업체도 디폴트 세팅을 안전하게 바꿔놓고 있고, 자동화 기술을 클라우드와 결합해 사용하는 기업도 늘어나고 있고요. 다만 클라우드 사용 기업이 훨씬 빠르게 늘어나고 있으며, 그렇기 때문에 실수가 빈번하게 나타나는 겁니다.”

3줄 요약
1. 캐피탈원 해킹 사고 일으킨 해커, 최대 20년형까지 받을 수 있음.
2. 클라우드 업체가 모든 클라우드 환경의 보안 문제를 책임지지 않는다는 게 선명히 드러난 사건.
3. 보안을 강화하는 기업이 늘어나고 있긴 하지만 아직도 기본적인 설정 오류가 훨씬 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기