• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

10월 초 등장했던 해커의 디링크 해킹 성공 주장, 맞지만 틀렸다 2023.10.19

유명 라우터 회사인 디링크를 해킹했다고 주장하는 해커가 나타났고, 디링크는 즉시 조사에 착수했다. 그러면서 해커의 주장이 맞기도 하고 틀리기도 했다는 사실을 확인했다.

[보안뉴스 문정후 기자] 대만의 네트워크 장비 전문 회사 디링크(D-Link)가 이번 주 데이터 침해 사고의 피해를 입었다고 밝혔다. 하지만 공격자들이 주장하는 것만큼 중대하고 심각한 상황은 아니라고 덧붙이기도 했다.

[이미지 = gettyimagesbank]


지난 10월 1일, 서컴(succumb)이라는 온라인 ID를 사용하는 한 인물이 다크웹의 브리치포럼즈(BreachForums)에 나타나 대만의 디링크 내부 네트워크를 침해하는 데 성공했다고 주장하기 시작했다. 그러면서 고객 정보와 소스코드 300만 행 이상을 훔쳤다고 주장했다. 디링크의 네트워크 관리 소프트웨어인 디뷰(D-View)의 소스코드가 침해를 받은 것으로 나타났다. 고객 정보에는 이름, 이메일 주소, 거주지 주소, 전화번호 등이 포함되어 있다고 설명하기도 했다.

서컴이라는 자는 여기서 한 발 더 나아갔다. 대만 정부 요원 다수의 개인정보가 디링크 고객 정보에 포함되어 있었다고 주장한 것이다. 주요 기업의 CEO들과 임원진들의 정보도 다수 가지고 있다고 밝혔다. 그러면서 그의 발언은 확실한 이목을 끌기 시작했다.

해커의 주장, 과장됐다?
하지만 디링크가 외부 전문가인 트렌드마이크로(Trend Micro)를 초빙하여 조사한 바에 의하면 “네트워크 일부가 침해된 건 맞지만, 그가 말하는 것처럼 심각한 상황이 벌어진 건 아니”라고 한다. “일단 해커가 가져간 정보는 대단히 오래된 것들입니다. 개인 식별 정보나 금융 데이터는 전혀 포함되어 있지 않습니다. 해커가 열람한 것으로 보이는 데이터는 많아 봐야 700건 정도로 조사됐습니다. 300만이라는 주장은 허무맹랑합니다.”

디링크와 트렌드마이크로가 수집한 공격 관련 증거들과 흔적들을 종합했을 때 공격자가 접근하는 데 성공한 것은 이미 2015년에 생애주기가 끝난 한 디뷰 시스템에 등록되어 있는 오래된 기록들 뿐이라고 디링크 측은 주장한다. 그나마도 현재까지 활용 가능한 건 한 건도 없는, 말 그대로 ‘폐기’된 기록이라는 것이다. “반쯤은 공개된 정보나 다름 없거나 민감도가 낮은 정보들이 주를 이룹니다.”

그러면서 디링크는 “직원 중 한 명이 공격자의 피싱 공격에 당한 것으로 보이며, 공격자는 그 직원 한 명을 통해 이제는 아무도 사용하지 않는 데이터에만 접근했다”고 사건을 정리하기도 했다. 다만 “그래도 당한 것은 당한 것이니 기존 접근 제어 시스템을 다시 검토하고 새로운 장치들을 도입해 보안을 강화했다”고 덧붙였다. 그러면서 “비슷한 공격 시도에 다시는 당하지 않을 것”이라고 밝히기도 했다.

“이번 사건이 현재 디링크 고객들에게 미치는 영향은 사실상 없을 거라고 보고 있습니다. 그러나 저희가 조사한 것 외의 피해가 있었거나 불편한 점이 생긴다면 지체말고 저희에게 연락을 주시기 바랍니다. 앞으로 더 단단해지기 위해서는 저희에게도 그런 정보가 필요합니다.”

비슷한 사건
디링크처럼 공격자가 침해 사실을 먼저 알림으로써 피해가 확인된 사건은 불과 얼마 전에도 일어났다. 게다가 조사를 해보니 공격자의 주장이 꽤나 과장되어 있었다는 점에서도 그 사건과 이번 사건은 닮아 있다. 바로 유명 소셜미디어 플랫폼인 시그널(Signal)에서 일어난 사건이었다. 누군가 시그널의 제로데이 취약점을 통해 피해자의 장비를 완전히 장악하는 데 성공했다는 루머가 지난 주말 동안 확산된 것이다. 주초에 시그널이 조사를 시작했고, “소문은 소문이었을 뿐 대단히 과장되어 있었다”고 그 결과를 발표했다.

당시 시그널은 공식 엑스 계정을 통해 “공격자가 익스플로잇 했다고 주장하는 제로데이 취약점은 실재하지 않으며, 공격자가 열람하거나 훔쳤다고 주장하는 정보는 공유되지도 않았다”고 주장했다. 심지어 너무 증거가 나오지 않았는지 “정부 기관들에도 협조를 구해 혹시 정부만 아는 시그널 해킹 공격 시도가 있었는지도 물었고, 없다는 답을 받았다”고 밝히기도 했다.

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>