• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

하루도 안 남은 미 대선, 슈퍼팩 사이트들 조사해보니 2016.11.08

선거자금 등 정치 목적 띈 기금 기부 받는 단체들, ‘그저 그런 수준’
지불 관련 정보 관리하지 않지만 기부자 개인정보는 저장해

[보안뉴스 문가용 기자] 보안 전문업체인 업가드(UpGuard)가 미국의 민간 정치자금 단체인 슈퍼팩(SuperPAC)의 공개 웹 사이트들을 평가해 점수를 매겼다. 950점 만점인 시스템으로 최저점은 컨서버티브 솔루션즈 PAC(Conservative Solutions PAC)의 266점이었다. 그밖에 프라이어러티즈 USA 액션(Priorities USA Action)이 409점이라는 높지 않은 점수를 기록하기도 했고, 리빌딩 아메리카 나우(Rebuilding America Now)와 넥스트젠 클라이밋 액션(NextGen Climate Action)이 836점이라는 높은 점수를 기록했다.


세금이 면제되는 비영리 단체를 지칭하는 501(c) 조직들의 웹 사이트들에 대한 평가도 이루어졌는데, 슈퍼팩에 소속된 웹 사이트들에 비해 보안 점수가 높은 편이었다. 내셔널 라이플 어소시에이션(National Rifle Association)이 501(c) 조직들 중 가장 높은 점수인 836점을 기록했고, 미국 상공회의소(US Chamber of Commerce), 미국 미래 기금(American Future Fund), 아메리칸스 포 프로스페리티(Americans for Prosperity)가 751점으로 공동 2위를 기록했다.

전체적으로 봤을 때 슈퍼팩의 웹 사이트들이나 다른 산업의 웹 사이트들이나 점수는 비슷했다. “되게 높은 것도 위험할 정도로 낮은 것도 아닌 수준이죠. 그녕 그저 그런 정도입니다.” 업가드의 부회장인 그렉 폴락(Greg Pollock)의 설명이다. “하지만 이런 웹 사이트들에서 유출 사고가 발생하면 무슨 일이 일어날까요? 이른바 하이프로파일 정보가 새나갈 가능성이 매우 높고, 그에 따라 명예가 훼손될 가능성 또한 매우 높아지죠. 즉 보안 수준이 ‘비슷하다’ 혹은 ‘그저 그렇다’ 정도의 평가가 있어서는 안 될 사이트라는 겁니다.”

이런 사이트들에는 지불카드 정보가 저장되지 않는 게 보통이다. 다만 슈퍼팩의 경우 기부자들의 개인정보가 저장되긴 한다. “슈퍼팩이나 501(c)의 웹 사이트들의 주요한 기능은 ‘기금을 모으되 기부자의 정체는 철저히 숨긴다’는 것입니다. 그러므로 여기서 보안 사고가 일어나면 매우 치명적인 결과를 가져오게 되는 것이죠.” 참고로 슈퍼팩은 정치적 목적을 띈 단체들을 지칭하는데, 이 단체들은 무제한으로 기금 활동을 벌여서 선거에 그 돈을 쓸 수 있다. 이들의 이러한 활동에 대해서는 논란이 많다.

폴락은 “슈퍼팩의 웹 사이트들을 분석하는 데에 CSTAR이라는 리스크 평가 모델을 사용했다”고 설명했다. “가장 큰 취약점은 암호화 장치가 전혀 없었다는 겁니다. 즉 HTTPS를 활용하는 곳이 굉장히 드물었어요. 이메일 인증 등의 절차도 없어 피싱에도 취약하고, DSNSEC도 도입되지 않았더군요. 점수가 낮은 사이트들 중에는 MySQL 포트가 활짝 열린 곳도 있었습니다.” 폴락의 설명이다.

하지만 슈퍼팩에 속해 있는 웹 사이트 중 넥스트젠 클라이밋 액션은 가장 현대화된 웹 플랫폼 중 하나인 NGNIX를 운영 중에 있었다. “그러나 다른 웹 사이트들 중 몇몇은 PHP 버전 정보를 노출시키기도 했고, 헤더 정보도 노출된 곳도 있었습니다.” 그러한 문제점들에도 불구하고 아직 사고가 발생했다거나 누군가의 공격에 이미 당했다는 흔적은 발견할 수 없었다. 위태위태한 점이 없지 않지만 아직까지는 버텨오고 있다는 것.

업가드는 평가 후 가장 낮은 점수대에 머문 사이트들의 운영자들에게 연락을 취해 보완할 점을 알리고자 했으나 아무한테서도 답장이 오지 않았다고 한다. 그밖에 다른 슈퍼팩 웹 사이트들의 점수는 다음과 같다. Get Our Jobs Back 399점, For Our Future 475점, Congressional Leadership Fund 513점, Right to Rise USA 523점, Senate Leadership Fund 561점, Senate Majority 561점, House Majority PAC 561점.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>