해커들이 제시한 샘플과 똑같은 데이터, 한 AWS에서 발견
데이터베이스 소유주는 시카고의 한 대부업체...일부 데이터 암호화 조치

[보안뉴스 문가용 기자] 에퀴팩스 사건에 대한 또 다른 이야기가 등장했다. 이번엔 아마존의 AWS와 관련이 있다. 먼저 사건의 대략을 정리해보자면 다음과 같다. 에퀴팩스를 해킹한 범인들은 아파치 스트러츠(Apache Struts)라는, 이미 널리 알려진 취약점을 익스플로잇해서 에퀴팩스 시스템에 침입했으며, 5월 중순부터 7월 말까지 약 1억 4천 5백만 명의 개인정보를 탈취했다. 피해자는 미국, 캐나다, 영국에 분포해 있다.


이 정보를 확보한 공격자들은 금전적인 이득을 취하고 싶어 했다. 훔친 데이터를 판매한다며 수백 비트코인을 요구하기 시작한 것이다. 한 단체는 스스로를 에퀴핵스(Equihax)라고 부르며 자신들이야말로 에퀴팩스 데이터를 가지고 있는 장본인이라고 주장했다. 그러면서 도널드 트럼프 대통령, 킴 카다시안, 빌 게이츠의 기록들을 유출시켜 스스로의 주장을 입증하려고 했다. 그 외에 유명하지 않은 일반 개인의 정보도 공개했다.

문제는 에퀴핵스라는 단체가 에퀴팩스를 직접 해킹한 것 같지 않아 보인다는 데에 있다. 그렇다면 이들은 에퀴팩스 유출 데이터를 어디서 구한 것일까? 그 외 많은 해킹 범죄자들이 자신들이 ‘오리지널’ 에퀴팩스 해커라고 주장하고 있는데 죄다 허세 부리는 게 아니라면, 이 정보들을 어디서 취득한 것일까?

이에 보안 전문가인 아디티야 수드(Aditya Sood)와 레한 잘릴(Rehan Jalil)은 클라우드를 조사하기 시작했다. “TCP 포트 9000/9001에 호스팅된 HTTP 서비스에 접근하다보니 웹 서버가 몇 개의 API를 되돌린다(return)는 걸 발견할 수 있었습니다. 그 API 중 하나에 쿼리를 전송함으로써 데이터를 취득해내는 것 또한 가능하다는 걸 알 수 있었습니다.”

즉 환경설정이 잘못된 어떤 데이터베이스(AWS 클라우드)로부터 에퀴팩스의 정보를 발견할 수 있었던 것인데, 해당 데이터베이스는 에퀴팩스의 것이 아니라 시카고에 있는 증권 대부업체였다. 보다 정확히 말하자면 그 대부업체의 QA 시스템과 관련이 있는 데이터베이스였던 것이다. 분석 결과 이 스토리지에는 보호 장치가 설정되어 있지 않았고, 저장된 평문 데이터 일부는 진짜 에퀴팩스 정보였다. 하지만 실험을 위한 허위 정보도 포함되어 있었다.

아디티야 수드와 레한 잘릴은 해외 매체에 이 클라우드로부터 취득한 데이터 샘플을 전송했다고 한다. 매체들은 에퀴팩스 관련 온라인 범죄자 및 사기꾼들이 공유하거나 일부 공개한 데이터와 형식이 흡사하다는 사실을 확인할 수 있었다. 어쩌면 그 수많은 ‘원조 해커 주장자’들이 사실은 이 보안 장치 없는 서버를 발견한 건 아닐까?

수드는 “그들이 가졌다고 주장하는 데이터와 우리가 발견한 데이터가 같다”고 자신의 블로그를 통해 설명했다. 사실 이 둘은 에퀴팩스라는 이름을 직접 언급하고 있지는 않다. 하지만 ‘신용 조사 기관’ 등의 단서들을 꾸준히 제공하고 있어 누구나 에퀴팩스를 짐작할 수 있다. 수드 측이 신용 조사 기관(즉 에퀴팩스)과 확인한 바에 의하면, 해당 기관은 문제가 된 클라우드 서버에 대한 통제권을 가지고 있지 않다고 한다.

수드와 레한은 해당 데이터베이스의 소유주인 대부업체 측에도 연락을 취했으나 10월 8일까지 아무런 조치를 취하거나 반응을 보이지 않았다. 하지만 일부 민감한 데이터가 암호화 처리 되긴 했다. 아직 대부업체와 에퀴팩스 간의 관계에 대해서는 알려진 바가 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>