[보안뉴스 문가용 기자] 2019년 미국 전역을 충격에 빠뜨렸던 거대 해킹 범죄인 ‘캐피탈원(Capital One)’ 데이터 침해 사고의 배후에는 36세 테크 전문가가 있었다. 현재 이 인물은 7가지 혐의로 재판을 받는 중인데, 만약 모든 혐의에서 유죄가 인정된다면 최대 20년까지 징역살이를 해야 한다.
[이미지 = utoimage]
이 거대 사건을 일으킨 장본인은 에라틱(erratic)이라는 닉으로 활동하는 해커 페이지 톰슨(Paige Thompson)이며, 당시 캐피탈원 침해 사고를 통해 1억 개의 신용 거래 신청서를 훔쳐내는 데 성공했다. 잘못 설정된 아마존 웹 서비스 스토리지 버킷에 저장되어 있던 데이터들이었다. 사건 직후 캐피탈원이 악성 행위를 추적해 FBI에 제보했고, 톰슨은 곧바로 체포됐다.
톰슨을 기소한 닉 브라운(Nick Brown) 검사는 “페이지 톰슨은 해킹 기술을 활용해 1억 명이 넘는 이용자들의 개인정보를 훔치고, 컴퓨터 서버를 가로채 암호화폐를 채굴했다”고 주장했다. “기업들을 돕는 윤리적 해커와는 거리가 먼 행동으로, 톰슨은 오히려 기업의 실수를 악용해 귀중한 정보를 훔쳐 스스로의 주머니만 채우고자 했습니다.”
톰슨이 취약한 AWS 인스턴스를 우연히 찾아낸 게 아니라 스캐너라는 도구를 활용해 설정이 잘못된 AWS 인스턴스들을 의도적으로 검색했다는 사실도 그에게 불리하게 작용할 예정이다. 여기서 취약한 AWS 인스턴스란 아무런 인증 절차 없이 아무나 접근할 수 있도록 해 둔 상태를 말한다. 톰슨은 약 30개 조직이 보유한 데이터베이스에 침투한 것으로 알려져 있으며, 그 중 하나가 캐피탈원이었다. 침투 후 그는 데이터를 빼돌리기도 했지만 암호화폐 채굴 멀웨어를 심기도 했다.
사법부의 발표문에 따르면 톰슨은 “수백 시간을 이러한 악성 활동에 투자했다”고 하며 “각종 온라인 포럼에 자신의 성과를 자랑하고 떠벌리기도 했다”고 한다. 현재 톰슨에게는 7개의 컴퓨터 및 통신 사기, 보호된 시스템으로의 불법적 접근 등의 혐의가 남아있으나 아이덴티티 도난에 대해서는 무혐의 처리가 된 상태다. 최종 판결은 9월 15일에 있을 예정이다.
그럼에도 클라우드 설정 오류는 세상에 가득해
페이지 톰슨이 일으킨 이 사건은 초대형 해킹 사고이며, 미국 성인 거의 대다수가 이 사건에 피해를 입은 것으로 알려져 있다. 또한 이것이 단순 클라우드 설정 오류로 인해 벌어진 일이라는 것도 잘 알려져 있다. 실제로 캐피탈원은 민감한 정보를 보호 장치 없이 노출시킨 것에 대한 책임이 있다고 판결이 났으며 8천만 달러의 벌금을 냈다. 그 외에도 고객들의 집단소송에 대한 합의금으로 1억 9천만 달러를 지출해야 했다.
보안 업체 넷엔리치(Netenrich)의 수석 위협 헌터인 존 밤베넥(John Bambenek)은 “캐피탈원 사건으로 클라우드 설정과 클라우드 보안에 대한 경각심이 전역에 퍼졌다”고 말한다. “그 전만 하더라도 모든 클라우드 환경의 보안은 클라우드 업체가 책임지는 것이라는 잘못된 개념이 편만했었죠. 피해 보상도 클라우드 업체가 져야 하는 것으로 알고 있던 업체가 많고요. 그러면서 클라우드를 있는 그대로(즉 디폴트 상태로) 놔두어도 안전하다고 인식하던 곳이 대다수였습니다. 하지만 캐피탈원 사건에서 벌금을 낸 건 클라우드 업체가 아니라 캐피탈원이었죠.”
하지만 그런 충격이 실제 보안 강화에 미친 영향력은 미비한 것으로 보인다. 보안 업체 라피드7(Rapid7)이 조사한 바에 의하면 “클라우드 설정 오류 때문에 발생하는 보안 사고는 아직도 지나치게 많다”고 한다. “해커들은 지금 이 순간에도 꾸준히 잘못 설정된 클라우드 저장소와 데이터베이스를 찾아 헤매고 있습니다. 매일 일어나 인터넷을 스캔하는 사람들이 전 세계에 수만~수십만 명입니다. 그런 사람들에게 있어 허술하게 설정된 클라우드를 찾는다는 건 매우 간단한 일입니다. 해킹 기술을 따로 익히지 않아도, 간단한 스캔 도구만 활용하면 손에 돈이 굴러들어오는 겁니다. 보안 설정을 간과하기 때문에 누군가는 불공평할 정도로 쉬운 삶을 살게 되는 것이죠.”
밤베넥은 “클라우드 설정을 제대로 하는 것과 같은 단순한 보안 강화 노력은 자동화 기술로 처리하는 게 좋고, 그 정도 투자는 기업에서 하는 편이 현명하다”고 강조한다. “실수는 누구나 합니다. 클라우드 담당자가 몰라서 접근 설정을 하지 않는 게 아니에요. 다른 일이 많다 보니 어쩌다 빠뜨리는 것이죠. 그런 걸 내부 규정에 의거한 벌칙으로만 해결할 건가요? 매우 비효율적이며 담당자들의 사기라는 것도 전혀 북돋지 못하는 방법입니다.”
다행히 이러한 측면에서 조금씩 나아지는 분위기라는 건 부인하지 못한다고 밤베넥은 설명을 덧붙인다. “클라우드 디폴트 세팅 상태로는 안전하지 않을 수 있다고 알게 된 사람들이 이전보다 많습니다. 클라우드 업체도 디폴트 세팅을 안전하게 바꿔놓고 있고, 자동화 기술을 클라우드와 결합해 사용하는 기업도 늘어나고 있고요. 다만 클라우드 사용 기업이 훨씬 빠르게 늘어나고 있으며, 그렇기 때문에 실수가 빈번하게 나타나는 겁니다.”
3줄 요약
1. 캐피탈원 해킹 사고 일으킨 해커, 최대 20년형까지 받을 수 있음.
2. 클라우드 업체가 모든 클라우드 환경의 보안 문제를 책임지지 않는다는 게 선명히 드러난 사건.
3. 보안을 강화하는 기업이 늘어나고 있긴 하지만 아직도 기본적인 설정 오류가 훨씬 많음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>