2014년, 해커들로서는 가장 성공적인 한 해

점점 발전하는 당신들 때문에 보안의 존재가치가 빛나

[보안뉴스 문가용] 먼저 멋진 한 해를 보내신 것에 대한 경의를 표합니다. 2014년은 여러분들에게 진실로 성공적인 한 해였음이 분명합니다. 지난 12개월 동안 당신들은 목표 대상의 덩치가 크건 작건 혹은 공권력이 강하건 약하건 전혀 아랑곳하지 않는 모습을 보여주었습니다. 홈데포, JP모건, 애플, 이베이에 우체국, 백악관까지 당신들은 마수를 한껏 뻗쳐댔습니다. 소니는 말할 것도 없지요.

금융계를 살펴보자면 JP모건처럼 큰 곳도 건드리셨더군요. 그래서 7천 6백만 가구의 정보와 7백만 개의 소규모 사업장의 정보를 빼가셨죠. JP모건의 네트워크에서 한 두 달 정도 머무르셨다고요? 그것도 두 달 내내 정보를 훔쳐가는 작업을 한 게 아니라 단 한 번의 실수를 꼬투리 잡아 은행의 깊이에 도달하기 위해 잠복한 기간만 두 달이라고 하더군요. 그러면서 흔적도 깡그리 지워내는 통에 수사도 난항에 부딪히기를 수 차례였지요. 그래서 JP모건은 올해 사이버 보안에 25억 달러를 투자했다고 합니다. 다행히 그런 투자가 있었기에 치명적인 정보에는 제 아무리 날고 기는 해커 당신이라도 침투에는 실패했겠지요.

매장들에서도 당신 때문에 난리였습니다. 홈데포에 침입해 5천 6백만 건의 신용카드 정보를 훔쳐내셨더군요. 덕분에 홈데포는 복구에만 6천 2백만 달러를 쏟아야 했습니다. 사실 홈데포 사건이 터졌을 때 즈음엔 이런 소식들이 하도 많아서 별 다른 감흥이 없었어요. 분명 엄청난 사건이었음에도, 더 실망할 것이 없었다는 소리이기도 합니다. TIX나 하나포드(Hannaford)가 털렸던 2007년이나 2008년보다는 저희의 심장이 훨씬 튼튼해져 있었던 상태였습니다.

2013년 말미에 역사에 길이 남을 대형 사건이 터졌죠. 1억 1천만 건의 신용카드 정보가 유출된 타깃(Target) 사태가 바로 그것입니다. 그때부터 지금까지 사실상 소매업계는 전부 당신 손에 있었다고 해도 과언이 아니죠.

그런데 그것으로는 만족할 수 없었나보죠. 3조 달러에 달하는 미국의 의료보험 산업에도 손을 대기 시작하더군요. 그 결과 커뮤니티 헬스 시스템(Community Health Systems)에서 4백만 건의 의료 정보를 빼갔지요. 알아보니 의료정보는 신용카드 정보보다 암시장에서 50배는 더 값이 나간다고 하더군요. 오죽했으면 FBI에서 의료 산업 전체에 현재 아주 기초적인 공격에도 방비가 되어 있지 못한 보안 상태를 강화하라는 경고문을 발송했을까요.

전자 의료 기록은 비싸게도 팔리지만 여러 가지로 활용 가치가 있더군요. 일단 개인의 의료 신상 정보를 훔쳐내면 원래는 받을 수 없는 수술을 받을 수도 있고, 보통 의료 신상 정보에는 배우자나 가족의 정보도 함께 포함되기 때문에 하나만 훔쳐내도 여러 사람의 정보를 가져갈 수 있다는 장점이 있습니다. 게다가 굉장히 민감한 정보도 들어있죠. 약물 치료 이력이나 중독증세 관련 기록이라든가 숨기고 싶은 질병 등에 관한 게 바로 그것입니다. 인터넷에 그대로 올라와 있다면 누군가의 삶이나 소중히 쌓아온 경력을 한 번에 망쳐버릴 수도 있는 성질의 것입니다. FBI 역시 의료기록이 가지고 있는 가치를 새롭게 발견하고 앞으로 사이버 범죄가 빈번하게 일어날 만한 곳이라고 명명했습니다. 당신들로서는 가히 큰 성과라고 볼 수 있습니다.

게다가 애플은 어떻고요. 2014년 각종 매체에서 떠들썩하게 떠들어댄 정보 유출 사고 중에서도 다섯 손가락 안에 꼽히는 사건이었습니다. 유명인의 누드 사진을 노출시킨 것이죠. 그런데 이는 어떠한 이윤이나 대가를 바라고 한 행위가 아니라 그저 유희와 재미를 위한 것이었다고요? 우리가 흔히 보는 연예인 소식 정도를 퍼 나른 것 뿐이라고요? 네, 덕분에 해킹이 그저 재미를 위한 일일 수도 있다는 가능성을 다시 새길 수 있었습니다. 적절한 피싱 캠페인으로 로그인 정보를 알아내고, 그걸 다시 서드파티 포렌식 소프트웨어와 합쳐서 아이클라우드에 침입할 수 있었다고 들었습니다. 아주 영리합니다, 당신들.

더 무서운 건 당신들이 영리할 뿐 아니라 조직력까지 갖추고 있다는 증거가 속속 드러났기 때문입니다. 마치 일반 시장에서처럼 해킹 의뢰를 받아 기술과 서비스를 파는 등의 행위가 발달해온 것이지요. 블랙쉐이드(Blackshades)라는 멀웨어도 출현했습니다. 100개가 넘는 나라에서 50만 대가 넘는 시스템에 침입해 광범위한 해킹을 실시함으로써 이제 해킹도 어엿한 비즈니스라고 선포하는 듯 했습니다. 블랙쉐이드를 운영하기 위해 실제로 사람을 고용하고 월급을 주고 고객 상담까지도 했다지요. 심지어 마케팅 부서까지 제대로 운영했다고 들었습니다. 뭉치니 정말 잘 살아지나 봅니다.

이처럼 당신들의 행적을 정리하는 건 끝이 없습니다. 이제 사이버 보안 시장은 7백 6십억 달러 규모에 달했다고 전문가들은 보고 있습니다. 보안 솔루션에 대한 시장의 수요는 전에 없이 높아지고 있으며, 그럼에도 당신 해커들은 계속해서 성공을 거두고 있습니다. 우리 역시 당신들의 몇몇 공격 정도는 막을 수 있을 정도로 크긴 했지만, 이를 비웃듯 당신들의 기술과 방법은 계속해서 앞서가기만 합니다.

2015년입니다. 당신들의 걸음은 분명 계속 될 테지요. 그래서 보안 시장은 더욱 두터워질 것입니다. 성장의 이유가 분명히 존재하기 때문이지요. 우리는 더욱 기술 발전과 교육에 투자하고 힘을 써 당신들과 비슷한 실력을 기를 것입니다. 당신들처럼 취약점을 찾아내는 눈을 기를 것입니다. 당신들 때문에 우리의 존재가치가 빛납니다. 당신들이 있어 우리는 한시도 방어 자세를 흐트러트릴 수 없습니다. 매주 화요일마다 필요한 패치를 하고, 백신 소프트웨어는 항상 최신 버전을 유지하고, 만나는 사람에게 마다 보안에 대해 강조할 것입니다. 아마 아무 링크나 클릭하지 말라는 것이 저희의 첫 발걸음이겠지요. 그 정도만 지켜줘도 큰 발전이겠지요.

2015년에도 또 만납시다. 당신들이 어떤 모습으로 나타나건 우리 역시 작년보다는 더 완벽하게 준비되어 있을 것입니다.

-보안 전문가 서지오 살린도(Sergio Galindo)로부터-

글 : 서지오 살린도

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>