• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 대학과 정부 기관 60개 공격한 러시아 해커 2017.02.16

영국과 미국의 주요 대학 및 정부 기관에서 크리덴셜 탈취당해
금전적인 목적 가진 해커일 가능성 높지만 사이버전 배제 못해

[보안뉴스 문가용 기자] 러시아어를 구사하는 해커 한 명이 60개가 넘는 미국 대학과 정부 기관 시스템에 침투한 사실이 보안 전문업체인 리코디드 퓨처(Recorded Future)에 의해 드러났다. 이 해커는 라스푸틴(Rasputin)이라는 이름으로 활동하고 있으며 SQL 인젝션 취약점을 주로 익스플로잇 한다고 한다.


리코디드 퓨처에 의하면 라스푸틴은 작년 미국 선거 관리 위원회(Election Assistance Commission, EAC)의 시스템에 침투해 100개가 넘는 계정 크리덴셜을 탈취해 다크웹에 팔아 넘기려고 시도했던 해커로, 그 중엔 관리자 권한을 가지고 있는 계정도 포함되어 있었다. 당시 보안 전문가들은 라스푸틴이 중동 정부로 보이는 구매자와 협상을 진행한 흔적을 발견한 바 있다.

리코디드 퓨처는 당시부터 라스푸틴을 계속해서 추적해왔으며 그의 활동 내역과 피해자들을 수집해왔다. 그래서 찾아낸 피해자들이 20개가 넘는 미국 내 대학교와 10개가 넘는 영국 내 대학교, 수많은 미국 정부 기관들이었다고 한다. 여기엔 연방 정부 기관만이 아니라 지방 정부 기관들도 포함된다.

미국 연방 정부 기관 중 라스푸틴에 당한 곳은 우정청 규제기관인 PRC(Postal Regulatory Commission), 주택 도시 개발부(the Department of Housing and Urban Development), 건강 자원 서비스 행정부(the Health Resources and Services Administration), 국립해양대기국(National Oceanic and Atmospheric Administration) 등이다.

현재 SQL 인젝션 취약점을 검색하고 익스플로잇 해주는 무료 툴들은 정말 많이 나와 있는 상태로, 사실상 누구나 구해서 사용할 수 있는 수준이다. Havij, Ashiyane, SQL Sanncer, SQL Exploiter Pro, SQLI Hunter, SQL Inject Me, SQLmap, SQLSentinel 등이 대표적이다. 하지만 라스푸틴은 스스로가 개발한 SQL 툴을 사용한 것으로 보인다.

“라스푸틴처럼 해킹 툴을 개발할 정도의 실력이 된다면 금전적인 이득을 취하고자 사이버 공격을 감행하는 모든 범죄자들과의 경쟁에서 우위를 점할 수 있습니다. 반대로 말하면 라스푸틴이 해킹 툴을 개발했다는 것 자체가 국가 사이버전 차원에서 범죄를 저지른 게 아니라 금전적인 목표를 위해 한 것이라는 뜻이 됩니다. 물론 100% 장담할 수는 없습니다만.” 리코디드 퓨처의 부회장인 레비 건더트(Levi Gundert)의 설명이다.

리코디드 퓨처는 라스푸틴이 침투할 만한 곳, 공격 대비 성과 효율성이 높은 곳을 골라서 공격한다고 분석하고 있다. 이는 즉 공격하기가 쉽고, 가치가 높은 데이터를 훔칠 수 있는 곳을 말한다. 여기에 유럽과 미국의 대학 및 정보기관이 대부분 포함되었다는 건 심각한 일이다. “SQL 인젝션 취약점은 이미 오랫동안 알려져 온 것입니다. 시큐어 코딩을 실천하면 간단하게 예방할 수 있기도 합니다. 하지만 이미 구축된 시스템에 있는 SQL 인젝션 취약점을 보완하려면 비용이 좀 많이 듭니다.”

그래서 SQL 인젝션 취약점은 대부분 조직들이 알아서 고치지 않는다. 그들이 이 문제점에 대해 심각하게 인지하기 시작하는 건 SQL 인젝션 공격에 당하고 나서다. “그래서 이 사실을 발표한 것이기도 합니다. 60개가 넘는 대학 및 정부 기관들이 SQL 인젝션 취약점을 좀 고쳤으면 좋겠어서요.”

또한 라스푸틴이 대학과 정부 기관을 주로 노렸다는 것에 대해 ‘사이버전의 일환으로 고용된 용병일 가능성’도 제기되고 있다. “그렇다면 더더욱 이러한 기관들이 SQL 취약점 같은 기본적인 것에 당했다는 사실이 창피해지는 겁니다. 우린 러시아나 중국, 이란에 해킹을 한다고 비난하고 있지만, 비난만 하고 있지 전혀 대비를 하고 있지 않은 꼴이 되는 거니까요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>