.jpg)
무려 260억 건이라는 어마어마한 분량의 기록이 한꺼번에 유출되는 사건이 최근 발생했다. 데이터 규모가 너무나 커서 보안 전문가들은 ‘모든 침해 사고의 어머니’라는 별명을 붙이기도 했다. 이 사건이 주는 교훈은 분명하다.
[보안뉴스 = 캐리 팔라디 IT 칼럼니스트] 얼마 전 유출된 채 발견된 260억 건의 기록들에는 ‘모든 침해 사건의 어머니(Mother of All Breaches)’라는 이름이 붙었다. 줄여서 모압(MOAB)이라고도 한다. 그 어마어마한 건수 때문에 이 기록들에는 큰 관심이 쏠렸다. 모압은 보안 업체 시큐리티디스커버리(Security Discovery)와 보안 매체 사이버뉴스(Cybernews)가 공동으로 발굴했다. (참고로 ‘기록(records)’이란 맥락을 갖춘 데이터를 말한다. 데이터는 조각조각의 정보들이다. 전화번호 하나만 있으면 데이터가 되는데, 그 전화번호가 누구의 것인지까지 알려주는 정보와 함께라면 기록이 된다_역주)
[이미지 = gettyimagesbank]
모압
모압에는 어떤 기록들이 담겨 있었을까? 과거에 발생한 침해 사건들로부터 나온 각종 정보들이 저장되어 있다. 거기에 새로운 데이터들도 적잖이 포함되어 있는 것으로 분석되고 있다. 이전 그 어떤 침해 사고에서도 없던 기록들이었다. 과거에 유출됐던 것, 다크웹 어디선가 거래됐던 것, 새롭게 갱신된 과거의 데이터가 전부 혼합되어 있다고 사이버뉴스 측은 보도했다.
모압이 처음 화제가 됐을 때에는 이 데이터의 주인이 누구인지 알 수 없었다. 하지만 데이터 침해 사고 전문 검색엔진인 리크룩업(Leak-Lookup)은 얼마 전 엑스를 통해 “방화벽 설정 오류로 인해 노출된 기록들”이라고 밝히며, “해당 방화벽은 이제 수정된 상황”이라고 발표했다. 그리고 바로 다음 날에는 “서버 설정 오류로 인해 발생한 사고이며, 12월부터 DB가 공개된 상황이었다”고 소식을 새롭게 올리기도 했다.
시큐리티디스커버리의 밥 디아첸코(Bob Diachenko)는 “원래 주기적으로 검색엔진들을 통해 검색되는 데이터를 분석한다”며 “잘못 설정된 noSQL 데이터베이스와 엘라스틱서치 인스턴스들에 특별한 관심을 가지고 검색 및 분석 활동을 하는 편”이라고 설명한다. “데이터베이스의 크기를 기준으로, 혹은 키워드를 중심으로, 혹은 그 외 다른 요소들을 가지고 검색을 하는 편이고, 그러면서 검색되지 말아야 할 데이터가 검색되지는 않는지 살피는 거라고 요약할 수 있습니다. 그러다가 모압이 발견된 것이지요.”
모압에는 총 4145개의 데이터셋이 저장되어 있었다. 그 중 1448개에 10만 개 이상의 기록들이 담겨 있었다고 한다. “물론 중복 자료도 적잖이 있었습니다. 따라서 이 숫자 모두가 고유한 기록들이라고 볼 수 없습니다. 그렇지만, 그럼에도 하나의 데이터베이스에 이러한 분량의 자료들이 잘 정리되어 항목화까지 되어 있다는 것은 꽤나 충격적인 일입니다. 적어도 저는 한 번도 본 적이 없습니다.” 여기에는 과거 링크드인, 어도비, 드롭박스, 텔레그램, 엑스 등 유명 플랫폼에서 유출된 데이터들이 가득 포함되어 있었다고 디아첸코는 설명한다.
어떤 일이 일어날 수 있을까
모압을 통해 유출된 기록들을 악성 공격자가 확보하는 데 성공했다면 어떤 일이 벌어질까? 추가 공격으로 이어질 가능성이 높다. 보안 업체 헌트레스(Huntress)의 보안 연구 수석인 존 하몬드(John Hammond)는 “요즘 멀웨어들 중 정보 탈취형 멀웨어가 인기가 매우 높은데, 그 이유는 비밀번호나 신용카드 정보, 각종 금융 정보를 수집하고 이를 소셜엔지니어링 공격 등에 활용해 더 많은 공격을 이어가기 위한 것”이라고 지적하며 “모압은 공격자들이 정보 수집의 수고를 덜 해도 되게 해 준다”고 정리한다. “모압은 소셜엔지니어링 공격에 활용될 것이 분명합니다.”
실제로 모압에는 여태까지 한 번도 본 적이 없는 분량의 기록들, 즉 맥락을 갖춘 데이터들이 저장되어 있기 때문에 공격자가 정교한 공격을 하기에 더없이 유용하다고 사이버 보안 비영리 단체인 국립사이버보안연맹(National Cybersecurity Alliance)의 수석 총괄 리사 플래지마이어(Lisa Plaggemier)도 동의한다. “누군가 속는다면, 정말 속을 수밖에 없는 피싱 공격이 가해졌을 겁니다. 모압이 가진 데이터들이 그만큼 풍성하다는 뜻입니다.”
그렇기 때문에 모든 기업과 기관의 보안 팀은 자사 데이터가 모압에 저장되어 있는지 시급히 확인하는 것부터 해야 한다고 보안 업체 시스딕(Sysdig)의 보안 전략가 크리스탈 모린(Crystal Morin)은 강조한다. “이전에 데이터 침해 사고를 겪었던 경험이 있다면 모압에 포함되어 있을 가능성이 높습니다. 이전에 한 번 노출된 기록이 다시 한 번 ‘리마인드’ 된 것 뿐이라고 보면 안 됩니다. 그 때는 공격자가 그냥 간과했던 데이터들이라도 ‘다시 보니 쓸만한 것’으로 여겨질 수도 있거든요.”
그러면서 모린은 “직원들과 고객, 파트너사 등 연루된 최종 사용자들에게 모압과 관련된 사실을 알리는 것도 좋은 방법”이라고 강조한다. “어차피 예전에 침해 사고가 발생했었다면 그 때 통보했을 것 아닙니까? 새로운 사고가 난 것도 아니니 그저 그 때 일을 한 번 상기시키는 것 뿐입니다. 그 때 침해 사고로 유출됐던 데이터가 다시 등장했으니 주의하라고 알려주고 정보를 공유하는 것이니 부담을 느낄 필요가 없습니다.”
하몬드는 “이왕 예전 데이터 사고의 악몽을 되살려야 한다면, 그 때 저질렀던 실수나 치명적 오류들을 다시 한 번 점검하는 것도 현명한 것”이라고 짚는다. “비밀번호를 너무 쉽게 저지른 게 사고의 원인이었다면 모압이 화제가 된 김에 비밀번호 현황을 다시 점검하면 어떨까요? 방화벽 설정 오류가 문제였다면 지금 다시 방화벽을 만져보는 것도 좋겠죠. 임원진들이 규칙 위에 있는 것처럼 굴다가 사고가 터졌다고요? 그러면 임원진을 다시 한 번 압박할 기회가 되겠네요.”
침해 사고, 영원히 끝나지 않을 악몽
침해 사고는 기업이나 기관 등 조직의 차원에서만 문제가 아니라 개인의 차원에서도 문제가 될 일이다. 현재로서는 자신의 정보가 유출됐는지 확인할 수 있는 가장 빠르고 쉬운 방법은 ‘해브아이빈폰드(Have I Been Pwned)’와 같은 무료 서비스를 이용하는 것이다. 그러나 플래지마이어는 더 쉬운 방법이 있다고 귀띔한다. “그건, 실제 침해 사고가 일어났고 내 데이터가 노출됐다고 가정하는 것입니다. 많은 사람들이 이미 자신의 정보는 공공재라고 자포자기 하는데요, 그 말 자체는 옳습니다. 다만 내 정보가 유출됐으니 언제 어디서건 그 정보를 활용한 공격이 있을 수 있다는 경계심을 유지하는 것이 필요합니다.”
플래지마이어는 “내 정보가 유출됐을까 안 됐을까를 따질 시대는 이미 오래 전에 지났다”고 강조한다. “유출됐다는 것을 상정한 채 그 다음 조치를 취하는 게 훨씬 안전한 때입니다. 혹시나 안전할 수도 있다고 여기는 것이 오히려 위험할 수 있습니다. 실제로 누구나 자기 정보 한두 건 정도 외부로 노출되었다고 한들 그리 이상하지 않지요. 오히려 단 한 건도 노출된 적이 없다는 사람이 드물 겁니다.”
모든 사람이 정보 유출의 피해를 한 번 이상 겪었다는 건, 그런 사람들이 다수 모여 활동하고 있는 기업이나 기관 입장에서 무슨 뜻이 될까? “보안의 기본 사항들을 이전보다 두 배 이상 꼼꼼히 지켜야 한다는 뜻이 됩니다. 비밀번호를 강력하게 설정하는 게 기본 습관이 되어야 하고, 다중인증이 생활 곳곳에 배어들여야 하며, 패치를 주기적으로 실시해야 합니다. 동시에 ‘당신의 정보는 이미 외부로 팔려나갔다’는 전제로 보안 교육을 진행하는 것도 중요합니다.”
이렇게 했을 때의 장점은 데이터의 소중함을 조금 더 실감나게 느낄 가능성이 높아진다는 것이라고 플래지바이어는 설명한다. “요즘 사회에서 데이터는 혈액과 같다고 비유를 하곤 합니다. 하지만 이걸 진짜로 받아들이는 사람은 많이 없습니다. 오히려 데이터를 가지고 돈을 버는 해커들이 더 데이터를 소중히 여기죠. 물론 자기 것이 아니라 남의 데이터를 소중히 여긴다는 점이 이상하긴 하지만요. 해커가 아닌 일반인의 경우, 내 데이터가 남의 손에 넘어갔다고 했을 때에야 소중했다는 걸 느낄 수도 있습니다. 없어져야 소중한 것을 아는 게 대부분 사람들의 성향이니까요.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 캐리 팔라디 IT 칼럼니스트] 얼마 전 유출된 채 발견된 260억 건의 기록들에는 ‘모든 침해 사건의 어머니(Mother of All Breaches)’라는 이름이 붙었다. 줄여서 모압(MOAB)이라고도 한다. 그 어마어마한 건수 때문에 이 기록들에는 큰 관심이 쏠렸다. 모압은 보안 업체 시큐리티디스커버리(Security Discovery)와 보안 매체 사이버뉴스(Cybernews)가 공동으로 발굴했다. (참고로 ‘기록(records)’이란 맥락을 갖춘 데이터를 말한다. 데이터는 조각조각의 정보들이다. 전화번호 하나만 있으면 데이터가 되는데, 그 전화번호가 누구의 것인지까지 알려주는 정보와 함께라면 기록이 된다_역주)
[이미지 = gettyimagesbank]
모압
모압에는 어떤 기록들이 담겨 있었을까? 과거에 발생한 침해 사건들로부터 나온 각종 정보들이 저장되어 있다. 거기에 새로운 데이터들도 적잖이 포함되어 있는 것으로 분석되고 있다. 이전 그 어떤 침해 사고에서도 없던 기록들이었다. 과거에 유출됐던 것, 다크웹 어디선가 거래됐던 것, 새롭게 갱신된 과거의 데이터가 전부 혼합되어 있다고 사이버뉴스 측은 보도했다.
모압이 처음 화제가 됐을 때에는 이 데이터의 주인이 누구인지 알 수 없었다. 하지만 데이터 침해 사고 전문 검색엔진인 리크룩업(Leak-Lookup)은 얼마 전 엑스를 통해 “방화벽 설정 오류로 인해 노출된 기록들”이라고 밝히며, “해당 방화벽은 이제 수정된 상황”이라고 발표했다. 그리고 바로 다음 날에는 “서버 설정 오류로 인해 발생한 사고이며, 12월부터 DB가 공개된 상황이었다”고 소식을 새롭게 올리기도 했다.
시큐리티디스커버리의 밥 디아첸코(Bob Diachenko)는 “원래 주기적으로 검색엔진들을 통해 검색되는 데이터를 분석한다”며 “잘못 설정된 noSQL 데이터베이스와 엘라스틱서치 인스턴스들에 특별한 관심을 가지고 검색 및 분석 활동을 하는 편”이라고 설명한다. “데이터베이스의 크기를 기준으로, 혹은 키워드를 중심으로, 혹은 그 외 다른 요소들을 가지고 검색을 하는 편이고, 그러면서 검색되지 말아야 할 데이터가 검색되지는 않는지 살피는 거라고 요약할 수 있습니다. 그러다가 모압이 발견된 것이지요.”
모압에는 총 4145개의 데이터셋이 저장되어 있었다. 그 중 1448개에 10만 개 이상의 기록들이 담겨 있었다고 한다. “물론 중복 자료도 적잖이 있었습니다. 따라서 이 숫자 모두가 고유한 기록들이라고 볼 수 없습니다. 그렇지만, 그럼에도 하나의 데이터베이스에 이러한 분량의 자료들이 잘 정리되어 항목화까지 되어 있다는 것은 꽤나 충격적인 일입니다. 적어도 저는 한 번도 본 적이 없습니다.” 여기에는 과거 링크드인, 어도비, 드롭박스, 텔레그램, 엑스 등 유명 플랫폼에서 유출된 데이터들이 가득 포함되어 있었다고 디아첸코는 설명한다.
어떤 일이 일어날 수 있을까
모압을 통해 유출된 기록들을 악성 공격자가 확보하는 데 성공했다면 어떤 일이 벌어질까? 추가 공격으로 이어질 가능성이 높다. 보안 업체 헌트레스(Huntress)의 보안 연구 수석인 존 하몬드(John Hammond)는 “요즘 멀웨어들 중 정보 탈취형 멀웨어가 인기가 매우 높은데, 그 이유는 비밀번호나 신용카드 정보, 각종 금융 정보를 수집하고 이를 소셜엔지니어링 공격 등에 활용해 더 많은 공격을 이어가기 위한 것”이라고 지적하며 “모압은 공격자들이 정보 수집의 수고를 덜 해도 되게 해 준다”고 정리한다. “모압은 소셜엔지니어링 공격에 활용될 것이 분명합니다.”
실제로 모압에는 여태까지 한 번도 본 적이 없는 분량의 기록들, 즉 맥락을 갖춘 데이터들이 저장되어 있기 때문에 공격자가 정교한 공격을 하기에 더없이 유용하다고 사이버 보안 비영리 단체인 국립사이버보안연맹(National Cybersecurity Alliance)의 수석 총괄 리사 플래지마이어(Lisa Plaggemier)도 동의한다. “누군가 속는다면, 정말 속을 수밖에 없는 피싱 공격이 가해졌을 겁니다. 모압이 가진 데이터들이 그만큼 풍성하다는 뜻입니다.”
그렇기 때문에 모든 기업과 기관의 보안 팀은 자사 데이터가 모압에 저장되어 있는지 시급히 확인하는 것부터 해야 한다고 보안 업체 시스딕(Sysdig)의 보안 전략가 크리스탈 모린(Crystal Morin)은 강조한다. “이전에 데이터 침해 사고를 겪었던 경험이 있다면 모압에 포함되어 있을 가능성이 높습니다. 이전에 한 번 노출된 기록이 다시 한 번 ‘리마인드’ 된 것 뿐이라고 보면 안 됩니다. 그 때는 공격자가 그냥 간과했던 데이터들이라도 ‘다시 보니 쓸만한 것’으로 여겨질 수도 있거든요.”
그러면서 모린은 “직원들과 고객, 파트너사 등 연루된 최종 사용자들에게 모압과 관련된 사실을 알리는 것도 좋은 방법”이라고 강조한다. “어차피 예전에 침해 사고가 발생했었다면 그 때 통보했을 것 아닙니까? 새로운 사고가 난 것도 아니니 그저 그 때 일을 한 번 상기시키는 것 뿐입니다. 그 때 침해 사고로 유출됐던 데이터가 다시 등장했으니 주의하라고 알려주고 정보를 공유하는 것이니 부담을 느낄 필요가 없습니다.”
하몬드는 “이왕 예전 데이터 사고의 악몽을 되살려야 한다면, 그 때 저질렀던 실수나 치명적 오류들을 다시 한 번 점검하는 것도 현명한 것”이라고 짚는다. “비밀번호를 너무 쉽게 저지른 게 사고의 원인이었다면 모압이 화제가 된 김에 비밀번호 현황을 다시 점검하면 어떨까요? 방화벽 설정 오류가 문제였다면 지금 다시 방화벽을 만져보는 것도 좋겠죠. 임원진들이 규칙 위에 있는 것처럼 굴다가 사고가 터졌다고요? 그러면 임원진을 다시 한 번 압박할 기회가 되겠네요.”
침해 사고, 영원히 끝나지 않을 악몽
침해 사고는 기업이나 기관 등 조직의 차원에서만 문제가 아니라 개인의 차원에서도 문제가 될 일이다. 현재로서는 자신의 정보가 유출됐는지 확인할 수 있는 가장 빠르고 쉬운 방법은 ‘해브아이빈폰드(Have I Been Pwned)’와 같은 무료 서비스를 이용하는 것이다. 그러나 플래지마이어는 더 쉬운 방법이 있다고 귀띔한다. “그건, 실제 침해 사고가 일어났고 내 데이터가 노출됐다고 가정하는 것입니다. 많은 사람들이 이미 자신의 정보는 공공재라고 자포자기 하는데요, 그 말 자체는 옳습니다. 다만 내 정보가 유출됐으니 언제 어디서건 그 정보를 활용한 공격이 있을 수 있다는 경계심을 유지하는 것이 필요합니다.”
플래지마이어는 “내 정보가 유출됐을까 안 됐을까를 따질 시대는 이미 오래 전에 지났다”고 강조한다. “유출됐다는 것을 상정한 채 그 다음 조치를 취하는 게 훨씬 안전한 때입니다. 혹시나 안전할 수도 있다고 여기는 것이 오히려 위험할 수 있습니다. 실제로 누구나 자기 정보 한두 건 정도 외부로 노출되었다고 한들 그리 이상하지 않지요. 오히려 단 한 건도 노출된 적이 없다는 사람이 드물 겁니다.”
모든 사람이 정보 유출의 피해를 한 번 이상 겪었다는 건, 그런 사람들이 다수 모여 활동하고 있는 기업이나 기관 입장에서 무슨 뜻이 될까? “보안의 기본 사항들을 이전보다 두 배 이상 꼼꼼히 지켜야 한다는 뜻이 됩니다. 비밀번호를 강력하게 설정하는 게 기본 습관이 되어야 하고, 다중인증이 생활 곳곳에 배어들여야 하며, 패치를 주기적으로 실시해야 합니다. 동시에 ‘당신의 정보는 이미 외부로 팔려나갔다’는 전제로 보안 교육을 진행하는 것도 중요합니다.”
이렇게 했을 때의 장점은 데이터의 소중함을 조금 더 실감나게 느낄 가능성이 높아진다는 것이라고 플래지바이어는 설명한다. “요즘 사회에서 데이터는 혈액과 같다고 비유를 하곤 합니다. 하지만 이걸 진짜로 받아들이는 사람은 많이 없습니다. 오히려 데이터를 가지고 돈을 버는 해커들이 더 데이터를 소중히 여기죠. 물론 자기 것이 아니라 남의 데이터를 소중히 여긴다는 점이 이상하긴 하지만요. 해커가 아닌 일반인의 경우, 내 데이터가 남의 손에 넘어갔다고 했을 때에야 소중했다는 걸 느낄 수도 있습니다. 없어져야 소중한 것을 아는 게 대부분 사람들의 성향이니까요.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
