카스퍼스키의 미국 사이트가 해킹 당한 사건이 보도된 직후, 이 업체는 지난 주말 자체 조사를 통해 2천 5개의 이메일 주소가 위험에 노출됐음을 확인했다. 그러나 해커가 이러한 개인 정보에 액세스하지는 않았다고 발표했다.

보안 업체 카스퍼스키 랩(Kaspersky Lab)이 지난 월요일(현지 시간) 자사 사이트의 침해에 관한 자체 조사 결과를 발표했다. 이 업체는 잘 알려진 일련의 취약점을 이용해 자사 데이터베이스에 접속했던 해커가 어떠한 개인 정보도 보지 않았던 것으로 확인했다고 밝혔다.

한편, 카스퍼스키사는 지난 토요일(현지 시간) 해커의 공격으로 미국 지원 사이트에 사이트의 보안을 우회해 고객 데이터베이스에 접근하도록 허용하는 취약점이 드러났다는 것을 언론 보도를 통해 알게 됐다. 이 해커는 해당 취약점에 대한 내용을 언론에 공개하기 한 시간 전, 카스퍼스키에 이에 관해 경고했던 것으로 알려졌다.

이에 관해 카스퍼스키의 안티바이러스 선임 연구원 로엘 스카우벤버그(Roel Schouwenberg)는 이 해커가 SQL 인젝션 공격으로 이 업체가 사용하고 있는 데이터베이스 테이블 이름을 획득할 수 있었다고 밝혔다. 그는 또한 데이터베이스에 2천 5백 개의 이메일 주소가 포함되어있었으나 해커가 그 정보에는 접근하지 않았다고 덧붙였다.

그러나 스카우벤버그는 카스퍼스키사가 이번 침해 사건으로 그 명성에 타격을 받을 것으로 예상하고 있다고 인정했다. 그는 “(우리가) 보안을 사업으로 하고 있는 만큼, 이번 사건은 우리 회사에 좋지 않은 일”이라며 “이번 사건은 발생해서는 안 되는 일이었다. 현재 이번 사건과 관련해 포렌직에서 할 수 있는 모든 것을 하고 있으며 다시는 이런 일이 발생하지 않도록 최선을 다 할 것”이라고 밝혔다.

한편, 업체는 이번 침해 사건을 평가하기 위해 이미 NGS 소프트웨어의 최고 컨설턴트를 고용했다. 또한 해커의 추적과 관련한 옵션을 살펴보고는 있으나 루마니아 사법부의 협조는 기대하지 않고 있는 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>