12억 건의 개인정보와 5억 건의 이메일 주소 유출

무력한 암호 인증 방식과 보안 업계의 게으름 꼬집는 사건

[보안뉴스 문가용] 역대 최고의 개인정보 유출사고가 터졌다. 사용자 이름과 암호 조합으로 이루어진 로그인 정보 12억 건과 5억 4천 2백만 개의 이메일 주소가 유출된 것이다. 러시아의 범죄 집단이 유력한 용의자로 떠오르고 있으며 어제(5일) 미국의 홀드 시큐리티(Hold Security)가 사건을 정리해 발표했다.

홀드 시큐리트에 의하면 러시아의 해커 집단은 봇넷을 사용해 SQL 인젝션에 취약한 사이트를 파악했다. 그리고 그중 42만여 개의 웹 사이트를 실제로 해킹하는 데에 성공했으며 그곳에서부터 사용자 이름과 암호로 조합된 로그인 정보 45억 건을 탈취했다. 이중 겹치는 걸 제외하면 12억 건으로 압축된다. 아직 이 웹 사이트의 이름이나 주소는 홀드 시큐리티 측에서 발표하지 않았다.

아직 이 정보들이 추가 범죄에 사용되거나 암시장에서 거래된 정황은 발견되지 않았고 다만 스팸성 활동만이 적발된 상태다. 이 사건이 큰 파장을 불러일으킨다면 그건 사건의 규모도 규모지만 무엇보다 이미 수차례 사전 경고나 기사가 나간 SQL 인젝션 취약점이 여전히 그대로 방치되어 있었다는 게 드러났기 때문이며, 이는 곧 보안담당자들의 방만하고 안일한 태도와 암호 인증의 약점을 가감 없이 보여주고 있기 때문이다.

“보안장치로서 암호는 이제 큰 효과가 없습니다. 위험부담이 너무 큰 모험이나 다름이 없습니다.” 디지털 인증서 및 암호화 소프트웨어 생산업체인 엔트러스트(Entrust)의 마케팅 커뮤니케이션 책임자인 데이비드 록뱀(David Rockvam) 씨의 설명이다. “개인 및 금융 정보를 보호하려면 최소 두 개의 정보로 이루어진 다중인증이 필수입니다.”

“아직도 보안에 투자하는 걸 꺼려하는 회사들이 많습니다. 그러니 이런 식의 공격에 속수무책으로 당하는 겁니다.” 보안 솔루션 제공업체인 사이낵(Synack)의 CEO인 제이 카플란(Jay Kaplan) 씨가 꼬집었다. “사실 당한 것도 모른 채 그냥 하루하루 사업하는 곳도 많습니다. 보안 인프라가 갖춰지지 않으면 감지하는 것조차 어려운 게 사실입니다.”

“12억 건이나 되는 정보가 유출되었다는 소식에 보안업계가 발칵 뒤집어지긴 했지만, 사실 우리가 모른 채 지나가는 유출사고를 다 합치면 이것보다 많으면 많았지 적진 않을 겁니다. 평소에도 이런 공격을 모른 채 넘어가는 보안업계의 느슨한 태도가 쌓이고 쌓여 12억이라는 어마어마한 숫자가 된 것 뿐입니다.” 트라이엄펀트(Triumfant)의 CEO인 존 프리스코(John Prisco)의 자조어린 설명이다.

홀드 시큐리티 측은 이 공격에 정치적인 의도가 있는 것 같지는 않으며 러시아 정부와의 관계도 딱히 드러나지는 않았다는 말을 첨했다. 해킹 당한 사이트 중엔 러시아발 사이트도 꽤나 많이 포함되어 있기 때문이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>