이번 달 1일과 10일에 각각 공격당해 사용자 정보 유출
지난 달에는 ‘매춘 사이트’ 디페이싱 공격한 해커도 등장

[보안뉴스 문가용] 작년 애슐리 메디슨(Ashley Medison)이라는 불륜 조장 사이트의 해킹 사건이 큰 파장을 일으킨 바 있다. 계정이 해킹당해 자살자까지 나타나는 등 사회적인 이슈가 적지 않았다. 정보보안의 관점에서는, 애슐리 메디슨이라는 사이트가 굉장히 취약했으며 각종 공격에 쉽게 무너질 수 있을만한 가능성을 익히 담고 있었다는 것 또한 밝혀졌다.


그 여파가 한 풀 꺾이고 얼마 안 있어 은행들을 겨냥한 랜섬웨어 사건이 일파만파 퍼져나갔다. 역시나 병원이 진작부터 가지고 있었던 취약점들이 많은 빌미를 제공했다는 분석이 잇따랐다. 랜섬웨어 공격이 대부분 ‘불특정 다수’를 향한 마구잡이식이었다가 병원이 훌륭한 표적이라는 것이 밝혀지면서 랜섬웨어의 상당수가 표적형으로 선회하기도 했다.

애슐리 메디슨 사건으로부터 온라인 데이팅 사이트의 보안이 취약하다는 것과, 목숨을 끊을만큼 정보 공개가 치명적이라는 것을 누군가 기억한 것일까? 이제 막 절반이 지난 7월에만 온라인 데이팅 사이트들이 줄줄이 해킹 공격에 당하고 있는 것으로 드러났다. 그것도 무슬림들을 위한 온라인 데이팅 사이트가 말이다.

다크웹에서 거래되고 있는 개인정보를 추적하는 일을 주로 하고 있는 릭트소스(Leaked Source)에 의하면 최근 두 개의 무슬림 온라인 데이팅 사이트의 사용자 개인정보를 2백만 건 입수하는 데에 성공했다. 하나는 무슬림매치(MuslimMatch.com)이고 다른 하나는 샤디(Shadi.com)이다. 무슬림매치는 7월 1일에, 샤디는 7월 10일에 해킹 당한 것으로 밝혀졌다.

암호의 관리가 매우 취약, 사용자나 사이트나
두 사이트의 공통점은 사용자 정보 중 암호를 저장하는 데에 있어 매우 취약했다는 것이라고 릭트소스는 전달한다. “무슬림매치의 경우 사용자의 암호가 암호화되어 저장되어 있긴 했지만, 해싱 알고리즘이 MD5로 크래킹이 매우 쉽습니다. 샤디는 암호가 평문으로 저장되어 있더군요.”

릭트소스는 다크웹에 돌아다니고 있는 사용자 설정 암호를 분석해 가장 인기 있는 암호들을 순서대로 정리해서 공개하기도 했는데, 1위는 123456, 2위는 123456789, 3위는 12345였다. 4위는 12345678이었고, pakistan, password, 1234567890이 뒤를 이었다. iloveyou나 qwerty, computer 등 다른 나라에서도 높은 순위를 기록하는 사용자 설정 암호들도 대부분 20위권 진입에 성공해 인기 높은 암호에는 국경도 없음이 증명됐다.

또한, 사용자들이 가장 많이 사용하고 있는 메일 도메인은 지메일인 것으로 나타났다. 야후, 핫메일, 야후(.co.in), 레디프메일 등이 뒤를 이었으며 aol과 outlook 등도 20위 안에 포함되었다.

한 가지 다행인 건 “아직까지 해당 정보들이 거래된 정황은 나타나지 않았다”는 것. 무슬림매치나 샤디를 사용하고 있었던 사용자는 릭트소스(www.leakedsource.com)이나 해브 아이 빈 폰드(haveibeenpwned.com/)에서 사용자 메일 주소를 입력해 확인이 가능하다.

신념이 강하게 반영된 공격
지난 달에는 엘서베일런스(ElSurveillance)라는 이름으로 활동 중인 모로코의 해커가 합법적인 성매매 웹사이트들(일명 escort website)을 공격하기도 했다. 엘서베일런스는 37개 성매매 웹 사이트에 디페이싱 공격을 가했으며 1월에는 79개 사이트를 해킹했었다. 총 100개가 넘는다. 또한 해당 사이트들의 사용자 개인정보도 일부 유출시켰다.

엘서베일런스는 소프트피디아(Softpedia)라는 업체와의 인터뷰를 통해 “무슬림 교리에 의하면 성매매는 인간으로서 할 수 없는 짓”이라며 공격의 동기를 설명했다. 무슬림과의 연관성이 드러난 바는 없지만 애슐리 메디슨을 공격한 해커들도 애슐리 메디슨이 사회적으로 부적절하다며 사이트 폐쇄를 요구한 바 있다.

아직 무슬림매치나 샤디 웹 사이트에 대한 공격자의 정체나 공격 동기가 확실히 밝혀지지는 않았다. 하지만 크게 몇 가지 가능성이 제기된다.

1. 무슬림 자체에 대한 공격이다
최근 IS의 잔악한 테러 행위로 인해 극단적인 무슬림들 말고도 무슬림 전체에 대한 시선이 곱지 않다. 어나니머스는 종종 IS를 공격하겠다는 선전포고를 하기도 했으며, 세계 곳곳의 친 어나니머스 해커들에게 동참할 것을 선전하기도 했다. 이들 중 누군가가 무슬림들이 자주 이용하는 웹 사이트를 해킹했다는 설이 유력하다.

2. 온라인 데이팅에 대한 반대 신념자의 공격이다
엘서베일런스나 애슐리 메디슨 해커처럼 온라인 데이팅 및 매춘 행위를 사회악으로 규정하는 시각도 존재한다. 이들이 자신들의 신념을 바탕으로 온라인 데이팅 웹사이트들을 연속적으로 공격하고 있다고 볼 수도 있다. 그러나 애슐리 메디슨이나 엘서베일런스에게 공격을 당한 웹사이트들은 ‘사회악’으로 규정할 만한 소지가 분명히 있는 반면 무슬림매치나 샤디는 수위가 다소 낮은 것이 사실이다.

3. 병원 랜섬웨어 때처럼 ‘약한 곳’을 찾는 공격자의 짓이다
원래 온라인 데이팅이나 각종 음란 사이트들의 보안은 매우 취약한 편이다. 무슬림매치나 샤디 역시 평소 보안이 매우 약했다는 것이 드러났다. 누군가 이 점을 노리고 다크웹 암시장에 판매할 목적으로 공격을 했을 뿐이다.

해당 사이트의 사용자가 아니더라도 위에 언급한 릭트소스 및 해브 아이 빈 폰드 서비스를 통해 주기적으로 자기 계정의 유출여부를 확인하고 암호를 꾸준히 바꿔주는 건 인터넷 사용자라면 누구나 해야 할 자기관리의 영역이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>