1년에 걸친 수사 종결되었으나, 결론은 이미 다 알려진 내용
인사관리처 보안 매우 허술했으며, 제로 트러스트 도입해야

[보안뉴스 문가용] 국가의 후원을 받는 공격자들 중 캡틴 아메리카(Captain America)와 아이언맨(IronMan)이라는 온라인 닉네임을 사용하던 이들이 짝을 맞춰 미국 인사관리처(OPM)를 공격했을 가능성이 높다는 수사 결과가 나왔다. 두 세력이 같은 시간에 온라인 상태가 된 후 인사관리처의 네트워크와 시스템 기반구조를 면밀히 조사하고 나서 조직적으로 2천 2백만 명의 개인정보를 훔쳤다는 내용이다.


이번 주, 미국 역사상 최악의 정보 유출 사건 중 하나로 꼽히는 2014년과 2015년 인사관리처 해킹 사건, 일명 OPM 해킹 사건에 대한 1년 간의 수사가 끝이 났다. 수사 보고를 받은 미국 하원의 정부 개혁과 감독 위원회와 위원회 의장 제이슨 샤페츠(Jason Chaffetz)는 인사관리처를 공격한 해킹 집단이 서로 연결되어 있고 공동전선을 폈을 가능성이 높다고 발표했다. 사실 이는 보안전문가들 사이에서 이미 정론이 된 내용이었다.

샤페츠는 “이번 공격은 외국에서부터 시작된 것으로 보인다”라고도 설명했는데, 이 역시 이미 보안 업계 사람들은 다 알고 있는 내용이었다. 하지만 샤페츠는 “정확히 어느 지역 혹은 국가의 행위인지는 정확히 파악하기가 힘들었다”고 덧붙였는데, 이 역시 알 사람은 다 아는 내용이었다.

인사관리처 해킹 사건 되짚기
올해 초 인사관리처 해킹 사건을 조사하고 있던 미국 하원이 진행한 청문회에서 인사관리처의 IT 보안 책임자인 제프 와그너(Jeff Wagner)는 당시 다음과 같은 증언을 했다. “보안 업계 사람들 대부분 ‘중국 정부를 돕고 있다’고 보고 있는 공격자들이 인사관리처의 파트너사인 키포인트 시스템즈(Keypoint System)의 인사관리처 VPN 크리덴셜을 훔치는 데 성공했습니다. 그리고 그 정보를 가지고 진짜 키포인트 시스템즈인 것처럼 인사관리처 네트워크에 접속하고 활동했습니다.”

당시 보고서의 내용에 따르면 2014년 3월에 발생한 정보유출 사건은 액시엄(Axiom)이라는 해킹단체의 소행이고, 2015년 4월에 발생한 사건은 딥 팬더(Deep Panda)나 쉘 크류(Shell Crew)라고 알려진 그룹의 소행인 것으로 판단되었다. 두 해킹 단체 모두 연방 정부 직원들을 겨냥한 대단위 사이버 공격을 왕성하게 벌이고 있었다. 비슷한 시기에 벌어졌던 웰포인트/앤섬(Wellpoint/Anthem) 유출사건도 딥 팬더가 저지른 것이라고 공공연히 알려졌지만 이번 보고서는 그것이 사실이 아니라고 못 박았다. 앤섬을 공격한 자들과 인사관리처를 공격한 자들은 아무런 상관이 없다는 것.

또 이번 보고서에서는 처음 공격이 발생했을 때 인사관리처가 어떻게 대처했는지가 먼저 다뤄졌다. 또한 당시 인사관리처의 사용자 인증 시스템과 시스템 접속 시스템의 허술함과 오래된 소프트웨어 및 장치의 만연한 사용현황 역시 다시 한 번 도마 위에 올랐다. 인사관리처의 보안 실태가 엉망이었다는 게 다시 한 번 상기되었다.

게다가 처음 정보가 유출되었다는 사실을 발견한 것도 인사관리처가 아니었다는 것도 다시 언급되었다. 제3자가 해당 사실을 눈치 채 신고하고, 신고를 접수한 US-CERT가 이를 인사관리처에 알린 것이다. 하지만 이미 그때는 공격자들이 인사관리처 네트워크에 대해 ‘빠삭하게’ 알고 있던 때였다. 샤페츠는 “이미 2014년 초부터 두 공격세력은 네트워크의 모든 곳을 알고 있었다”고 설명했다. 그러면서 “인사관리처가 네트워크 활동 내역을 로깅하고 있었다면 수상한 트래픽을 보다 빨리 발견할 수 있었을 것”이라고 쓴 소리를 했다.

“2014년에 1차적으로 탈취한 문서와 정보를 가지고 더 깊은 곳까지 도달할 방법을 연구하여 찾아낸 듯 합니다. 여기에다가 인사관리처는 2014년 해킹 사건 때 하나의 공격 단체가 들어온 줄로 여겼죠. 두 번째가 있을 것이라고 상상도 하지 못했습니다. 해커가 열심히 두 번째 공격을 준비할 동안 인사관리처는 다 잡았다고 또 흐트러지고 있었죠. 그래서 인사관리처에서 시스템을 포맷하고 리셋해서 멀웨어 및 취약점을 없애느라 분주할 때 두 번째 공격자는 이미 그 새로운 집에 들어와 있었습니다. 14년 공격을 했던 범죄자들과 그 두 번째 범죄자들 사이에 분명히 어떤 커넥션이 있습니다.”

만약 인사관리처가 2014년 공격을 발견했을 당시 데이터를 보다 안전하게 보호하는 조치를 취했다면 두 번째 공격의 피해는 크게 줄일 수 있었다고 이번 수사 결과 보고서는 강조한다. “두 번째 공격은 분명히 예방이 가능한 성질의 것”이었다고도 샤페츠는 설명한다. “이 두 번의 공격으로 연방공무원이 되고자 이력서를 넣은 모든 사람들 중 80년대 중반에 태어난 사람들이 특히 피해를 많이 보았습니다. 심지어 불합격을 했어도 개인정보가 인사관리처 네트워크에 고스란히 저장되어 있더군요.”

인사관리처에 대한 비판은 계속됐다. “2014년 유출사고에 대해서 덮기에 급급했지 대중들에게 제대로 공개하지 않았죠. 게다가 시간이 지나서 2014년 공격과 2015년 공격자들 사이에는 아무런 연관성이 없다고까지 말했습니다.” 이어 “2014년 해커(보고서 상 해커X1이라는 명칭이 주어졌다)의 주된 목적은 보안 장비 및 수많은 사람들을 뒷조사한 데이터를 찾는 것이었다”고 설명하며 “작전 중간에 들켜 인사관리처 시스템에서 내쫓겼다”고 말했다. 다음, “해커X2가 등장해 해커X1의 활동이 중단된 곳부터 활동을 시작했는데, 인사관리처는 전혀 눈치 채지 못했다”고 설명을 이었다. “그렇기에 계속 네트워크에 머물며 지문정보까지도 싹 다 가져갈 수 있었던 것이죠.”

당연한 얘기지만 이 뒷조사 데이터에는 한 사람의 사회보장번호, 거주지 주소, 고용 현황 및 이력, 가족 구성원, 건강 상태, 자금 정보가 풍부하게 들어 있었다. 범죄자들이 빼 간 건 2천 1백 5십만 명의 뒷조사 데이터였다. 이중 1천 9백 7십만 명은 인사관리처의 뒷조사를 허락한 사람들이었다. 그중 1백 1십만 명은 지문 정보도 입력하는 데에 동의했는데, 모두 지문 정보도 뺏겼다. 남은 사람이 약 1백 8십만 명 정도 되는데 이들은 뒷조사를 허락한 사람들의 배우자 및 가족들의 것이라고 한다.

샤페츠는 인사관리처의 시스템이 굉장히 낙후되었다는 것도 지적했다. “예를 들어 암호화를 지원하는 것도 불가능할 정도로 오래된 것들이 많았습니다. 인사관리처의 2013, 2014, 2015 회계연도의 사이버 보안 투자금은 7백만 달러였습니다. 이는 연방 부처들 중에 가장 낮은 금액입니다. 보통 1천 3백만~1천 5백만 달러를 투자하는 데 말이죠. 게다가 다중 인증을로 시스템에 접근하는 사용자가 1%로, 이 역시 굉장히 낮은 축에 속합니다.”

또 다른 의견
대부분 공화당 출신으로 구성된 정부 개혁과 감독 위원회에는 일부 민주당 의원들도 섞여 있다. 그 중 하나가 엘라이자 커밍스(Elijah Cummings)다. 커밍스는 인사관리처가 모든 면에서 부실했음에는 동의하지만 “결과 보고서의 내용에 다 동의하는 건 아니”라고 발표했다.

“공화당 의원들이 오늘 발표한 수사 결과 내용 중 일부는 저희가 진행한 수사 결과와 사뭇 다릅니다. 위원회는 인사관리처 해킹 사건의 수사에 1년을 투자했습니다만 당시 인사관리처의 네트워크에 공격자들이 상주해 있는 걸 제 때 탐지한 기업이나 사람은 하나도 발견할 수 없었습니다. 나중에 인사관리처가 새로운 신기술 솔루션을 도입했을 때 처음 발견되었다는 것이 저희가 알아낸 사실입니다. 사건이 처음 발견되었을 당시 사이텍(CyTech)이라는 회사가 제일 처음 알아냈다고 보고되었는데, 이것이 사실과 다르다는 겁니다. 사일런스프로텍트(CylanceProtect)라는 솔루션이 해킹 사실을 가장 처음 탐지했습니다. ”

커밍스에 따르면 인사관리처는 사일런스프로텍트 이전에 사일런스의 V라는 스캐닝 툴을 사용하고 있었다고 한다. 그리고 2015년 4월, 정확히 한 해 전에 스티브 로저스(Steve Rogers) 혹은 캡틴 아메리카(Captain America)라는 자가 등록한 opmsecurity.org라는 도메인으로 가는 수상한 트래픽을 발견했다. 인사관리처는 곧바로 사일런스(Cylance)사와의 회의를 시작했다. 얼마 지나지 않아 공격자들이 토니 스타크(Tony Stark)나 아이언맨(IronMan)이란 이름을 사용하고 있다는 것도 알아냈다. 보안 툴이 사일런스프로텍트로 바뀌었다.

“보안 툴을 바꾸고 첫 시동을 거는데, 멀웨어 경고가 마치 크리스마스트리처럼 반짝이기 시작했다고 전해 들었습니다.” 사일런스의 회장인 스튜어트 맥클루어(Stuart McClure) 역시 이에 동의한다. “그 와중에 멀웨어가 2천여 개, 중국 해킹 그룹 2개가 발견되었습니다.”

하지만 커밍스가 주장하는 것처럼 엔드포인트에 뭔가를 설치했다고 한들 이미 유출을 막기엔 너무 늦은 상태였다. 공격자들은 인사관리처의 중요 MS SQL Servers 중 하나에 플러그엑스(PlugX)를 설치했고, 2014년 6월 23일 이미 인사관리처의 PIPS 메인프레임에까지 도달했다. 바로 이 PIPS 메인프레임이 수많은 개인정보(뒷조사 데이터)가 저장되어 있던 곳이었다. 공격자들이 개인정보를 탈취한 건 2014년 8월, 직원들의 기록을 빼낸 건 2014년 12월, 지문정보를 훔친 건 2015년 3월이었다.

의견 차이가 조금 있긴 했지만 미국 정부는 1~2년 전 발생한 인사관리처 해킹 사건에 대해 1) 캡틴 아메리카와 아이언맨이라는 가명으로 활동하고 있는 두 해킹 세력이 연합해서 공격을 감행했고 2) 이 둘은 해외에 있을 가능성이 높다고 결론을 내렸다. 그러면서 인사관리처 및 각종 정부기관에 ‘제로 트러스트(Zero Trust)’ 모델을 도입할 것을 권장했다. 제로 트러스트는 말 그대로 아무 것도 믿지 않는다는 것으로, 인증과정을 다중화시키고 사용자 관리를 좀 더 철저히 하는 것을 말한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>