암호 바꾸지 않는 사용자들 습관 때문에 불필요한 피해 확산

미국, 영국, 캐나다, 스페인 경찰력 협조로 대부분 검거 성공

[보안뉴스 문가용] 사람들이 많이 몰릴만한 행사의 입장표를 미리 다량으로 구매한 후 표를 차마 구하지 못한 사람들에게 더 비싸게 되파는 건 범죄 행위를 넘어 굉장히 파렴치하고 졸렬한 짓이다. 이런 일이 미국 유명 티켓 예매 사이트인 스텁헙(StubHub)에서 일어났다. 스텁헙에 등록된 사용자 중 1600여 명의 계정이 이런 식의 범죄 행위에 악용된 것이다. 다행히 다국가 공조에 의해 이 사건에 개입한 10명의 범죄자들을 적발하고 일부 잡아들이는 데 성공했다.

2013년 5월 스텁헙 측은 1000개의 고객 계정에서 의심스러운 티켓 구매 행위가 벌어지고 있다는 사실을 알아챘다. 더 추적한 결과 공격자들이 멀웨어나 타 사이트에서 벌어진 유출 사건 등 여러 경로를 통해 해당 고객의 개인정보를 알아내고, 알아낸 사용자 이름과 암호를 사용해 스텁헙에 로그인 한 것이 드러났다. 이는 사람들이 보통 한 가지 아이디와 암호로 여러 사이트에 로그인한다는 습관을 악용한 것이었다.

스텁헙 측은 “범죄자들은 스텁헙의 기술 및 재정 시스템에 직접 침입하지는 않았습니다. 다른 사업체에서 발생한 정보유출 사고나 키로거 등의 멀웨어를 사용해 사용자 개개인의 로그인 정보를 알아낸 후 마치 진짜 사용자인 것처럼 스텁헙에 로그인 할 수 있었습니다”라고 스텁헙 자체가 뚫인 건 아니라는 사실을 강조했다.

그렇게 다른 곳에서 얻은 정보를 가지고 스텁헙 로그인에 성공한 범죄자들은 제일 먼저 신용카드 정보를 탈취했다. 그리고 또 다른 사용자 계정으로 로그인 한 후 방금 탈취한 신용카드 정보를 활용해 온라인 티켓을 구매했다. 이런 2단계 로그인 수법으로 스텁헙의 보안망을 통과할 수 있었다.

그렇게 해서 이들 범죄에 악용된 계정은 1600개에 달한다. 그리고 3500장이 넘는 티켓이 거래되었다. 대부분 인기가 높아 금방 매진되는 행사의 티켓이었고 이를 되팔아 차액을 챙겼다. 차액, 즉 이런 불법 거래를 통해 만들어진 이득은 여러 개의 페이팔 계좌나 독일이나 영국의 은행계좌로 송금되었다. 런던과 토론토 등지에서 추가로 돈세탁을 시도하기도 했다. 그렇게 해서 챙긴 총수익이 1백만 6천달러에 달한다.

스텁헙은 여기에 연루된 고객들에게 전부 연락을 취했고 손해를 보상했다. 그리고나서 법적인 조치를 취하기 위해 필요한 기관을 찾았다. 그리고 2014년 7월 23일 맨해튼의 지방검사인 사이러스 R 밴스 주니어(Cyrus R. Vance Jr) 씨는 뉴욕 대법원에 범죄자 6인에 대한 고발장을 제출했다. 그리고 바로 당일인 23일 그 중 두 명을 잡아들이는 데에 성공했다. 6인 중 한 명은 이번 달 초 스페인 여행 중에 이미 체포를 당한 상태였다.

범죄자들 중 뉴욕 대법원의 체포망에 포함되지 않았던 3인은 런던 경찰에게 체포되었고 또 다른 한 명은 캐나다 경찰에 붙잡혔다. 영국과 런던에서 붙잡힌 4인의 이름은 아직 알려지지 않은 상태다. 이 범죄자들은 대부분 러시아와 미국 출신인 것으로 밝혀졌다.

밴스 검사는 “사이버 범죄자들은 경계를 모릅니다”라고 설명한다. “국제법이나 국가 간 경계에 대한 감각이 전혀 없어요. 오늘 잡아들인 범죄자들의 면모를 보니 이 말에 더욱 힘이 실립니다. 뉴욕과 뉴저지뿐 아니라 영국, 캐나다가 전부 하나로 힘을 합해 빠르게 사이버 범죄자들을 잡아들였다는 점에서 이런 경계 없는 범죄엔 경계 넘은 체포 노력이 있어야 한다는 선례가 된 듯 합니다.”

런던 경찰국장인 에이드리안 레파드(Adrian Leppard) 씨 역시 오늘 발표문을 통해 “이번 일이 국제 사이버 범죄에 대항한 국제 협력의 마일스톤이 될 거라고 봅니다. 그런 의미에서 대단히 중요한 작전이며 수사였습니다”라고 말했다.

이렇게 공권력들이 점점 자신의 위치를 잘 찾아가고 있는 가운데, 보안전문가들은 이제는 사용자들이 자기 위치에서 해야 할 일을 할 차례라고 꼬집었다. “똑같은 암호를 계속 사용했기 때문에 일어날 수 있었던 일이라는 사실은 부정할 수 없습니다. 사실 스텁헙에서 돈을 배상해줘서 망정이지 사실 스텁헙에서도 얼마든지 모르쇠로 일관할 수 있었던 입장이었습니다.” 코어 시큐리티(Core Security)의 최고 설계가인 앤디 라파포트(Andy Rapparport)의 말이다.

“다른 유출사고에서부터 스텁헙과 겹치는 사용자의 정보를 얻어낸 것으로 보입니다. 그래서 늘 암호를 조심히 만들어라, 소셜 네트워킹을 조심해라, 이메일 함부로 열지마라 하면서 글광 외듯 외쳤는데도 별 효력이 없었던 것이죠. 물론 스텁헙에서도 다중 인증 방식을 도입시킬 수 있었지만 그건 그냥 아쉬운 점일 뿐 ┖책임┖까지 물을 일은 아닙니다.” 트라이엄펀트(Triumfant)의 CEO인 존 프리스코(John Prisco)도 비슷한 의견이다.

“이번 사건이 주는 교훈은 보안의 가장 취약한 부분은 서버가 아니라 사용자라는 겁니다. 사용자들은 사이트마다 다른 사용자 이름과 암호를 사용해야 합니다. 물론 실제 사용자들은 굉장히 많은 사이트에서 회원가입을 하기 때문에 이게 불가능하다는 걸 압니다. 그래서 차라리 외우기 쉬운 문장을 암호로 쓰는 걸 권합니다. ‘I like facebook’이나 ‘I love twitter’처럼 말이죠.” 실버스카이(SilverSky)의 수석 보안분석가인 리차드 웨스트모어랜드(Richard Westmoreland)의 설명이다

“한 암호로 여러 개 사이트에 등록하는 순간 그 사용자는 이미 취약점을 다량 떠안고 가는 것과 다름 없습니다. 야식 배달 사이트에서 사용하는 사용자 이름과 암호를 온라인 뱅킹할 때 그대로 사용하고 있나요? 지금 그 은행계좌가 무사한 지 지금 당장 잔고를 확인하십시오. 그리고 차라리 모두 인출해서 집안 금고 같은 곳에 두는 것이 더 안전할 겁니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>