• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2014년 OPM 해킹 사건 용의자, 부주의해 잡혔다 2017.08.28

미국 인사관리처의 개인정보 2천만 건 유출된 사건
용의자, 중국에 있는 동료들과 부주의한 연락하다 뒤 밟혀

[이미지 = iclickart]

[보안뉴스 문가용 기자] 2014년 발생했던 미국 인사관리처 해킹 사건(이른바 OPM 해킹 사건)의 유력한 용의자가 체포됐다. 공격 자체는 정교하고 수준이 높았으나 정작 용의자 자신의 신변 처리에 있어서는 깜짝 놀랄 정도의 허술함이 드러났다고 한다.

FBI가 중국인 용의자 유 핑안(Yu Pingan)을 체포한 건 지난 목요일. 사쿨라(Sakula)를 포함한 다양한 멀웨어를 사용해 인사관리처를 해킹한 혐의가 적용됐다. 사쿨라 등은 앤섬(Anthem)이라는 건강 보험업체의 해킹 사건에도 활용된 것으로 알려졌다. 앤섬 해킹 사건 때 유출된 기록은 8천만 건에 달한다.

유 핑안은 아직 이름이 공개되지 않고 기소되지도 않은 두 명의 공모자와 함께 일을 저지른 것으로 알려졌으며, 해당 인물들은 현재 중국에 있다고 한다. 셋은 적어도 네 개의 조직에 멀웨어를 설치했는데, 이 조직에 대해서도 아직까지 공개된 바가 없다. 기소장에는 A, B, C, D로만 표기되었을 뿐이다. 유핑안은 어떤 컨퍼런스 참석차 LA에 왔다가 체포됐다.

세 명의 용의자는 2012년 5월부터 2013년 1월 사이에 인터넷 익스플로러의 제로데이를 무려 다섯 개나 익스플로잇 했다고 한다. 당시 공격 대상은 위 네 조직이 아니라 워터링 홀 공격을 감행하기 위한 한 웹사이트의 서버였다. 익스플로잇 된 제로데이 취약점은 CVE-2012-4969, CVE-2012-4792, CVE-2014-0322, CVE-2012-84792 등이다.

이들에게 당한 이 웹사이트는 다양한 멀웨어를 배포하기 시작했는데, 여기에 사쿨라와 그 변종(mediacenter.exe) 등이 포함됐다. 미국 내 고유 IP 주소 370여 개에 전파됐다.

여기서 자주 언급되는 사쿨라 멀웨어는, 마이크로소프트 제품의 업데이트가 배포되는 한국 마이크로소프트의 도메인으로 연결되도록 하는 기능을 가지고 있다. 세 일당 중 누군가가 한국 마이크로소프트의 정상 도메인에 침투하는 데 성공해 자신들이 통제하고 있는 악성 IP 주소로 우회시킨 것으로 FBI측은 분석하고 있다.

OPM 해킹 사건은 미국 정부 기관이 겪은 다양한 사이버 사고 및 범죄 가운데서도 가장 충격적인 사건 중 하나다. 총 두 번 사고가 발생했으며 총 2천만 건의 전직 및 현직 공직자의 개인정보가 새나갔을뿐 아니라 정부기관이 사람을 고용하기 전에 실시하는 배경조사의 데이터까지도 전부 유출됐기 때문이다. 건강과 금융 관련 정보, 범죄 기록, 지문 데이터까지 전부 여 기에 포함된다.

국제적인 법무사무소인 메이어 브라운(Mayer Brown)의 마커스 크리스티안(Marcus Christian)은 “이번 체포는 사건 자체의 규모나 영향력인 면에서뿐 아니라, 앞으로 도난당한 정보로 인해 발생할 후속 사고들을 고려했을 때도 무척이나 중요한 일”이라고 평한다. “용의자 한 명뿐 아니라 중국에 있는 공모자들도 공식 문건에 언급되어 있는 걸로 봐서 정부가 이 사건을 깊게 파헤치고 있는 중이라는 걸 알 수 있고, 따라서 배후에 더 큰 뭔가가 연루되어 있을 가능성도 존재합니다.”

최근 미국 정부 및 연방 기관들은 사이버 범죄에 집중하고 있다. “현재 미국은 여러 판례를 구축하기 위해 애쓰고 있습니다. 즉, 사건의 범죄자만을 캐는 게 아니라, 해당 범죄자 및 조직을 최대한 법정에 세우기까지 일을 진행한다는 겁니다. 따라서 국제 공조에도 이전보다 더 많은 관심과 노력을 기울이고 있죠.”

재미있는 건 유 핑안이 스스로의 신원을 감추기 위한 노력을 크게 하지 않았다는 것이다. 심지어 개인적인 통신에서 사쿨라 멀웨어를 직접 언급하고 스스로와 연관 짓기도 했다. 그밖에 위에 언급한 제로데이에 대한 익스플로잇도 꽤나 여러 차례 언급했고, 사쿨라 변종의 복호화에 사용된 키 역시 유 핑안의 허위 신원인 골드선(Goldsun)의 이름 아래 공개적으로 논하기도 했다. 이런 ‘위험한 내용’을 공범자들과 조심성 없이 이야기하다가 걸린 것이다.

심지어 한 동료는 유 핑안에게 FBI가 추적하는 것 같다고 경고까지 했으나, 유 핑안은 별다른 조치를 취하지 않았다. 보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 분석가인 존 밤베넥(John Bambanek)은 “핑 유안이 하던 것과 정 반대로 하면 완벽한 범죄자가 될 수 있을 것”이라고 말한다. “미국을 상대로 스파이 짓을 하려면, 적어도 미국 바깥에서 해야 최소한의 안전은 보장받을 수 있습니다.”

밤베넥은 “아마 절대 잡히지 않을 것이라는 확신이 있었던 것 같다”고 추측한다. 디지털 셰도우즈(Digital Shadows)의 부회장인 릭 홀란드(Rick Holland)는 “그래서 사이버 작전을 운영할 때 보안은 필수”라고 덧붙인다. “보안의 가장 기본 사항은 실수를 하지 않는 겁니다. 그러나 누구나 언젠가는 실수를 하죠. 수사는 그걸 찾아내는 것이고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>