야후, 5억 개→10억 개→30억 개로 정보 유출 규모 수정
유출 규모는 추산치일 뿐, 규모보다 지체 시간에 집중해야

[보안뉴스 오다인 기자] 이달 초, 야후는 자신들이 정보 유출 규모를 지난 해 얼마나 과소평가했는지에 대해 시인했다. 2016년 12월 야후는 일전에 유출된 5억 개의 계정에 더해 추가적으로 10억 개의 계정이 별개의 침해 건에서 유출됐다고 말했다. 그러나 현재 드러난 바에 따르면, 야후의 모든 계정이 침해된 것으로 보인다. 30억 개 이상의 계정 전체가 침해된 것이다.


야후가 오해한 이유는 무엇일까? 그리고 침해 계정의 수가 정정됐다는 건 무엇을 의미할까? 이를 이해하기 위해선 정보 유출 규모를 계산하는 것 이면의 우울한 과학을 들여다봐야 한다.

추가적인 유출이 서드파티에 의해 드러나는 경우는 4번 중 1번꼴로 발생한다. 서드파티가 유출로 인해 직접 피해를 입었거나 다크넷에서 떠도는 유출 정보를 목격하는 때다. 또한, 누군가 접근해서는 안 되는 데이터베이스에 접근하는 등 이례적인 행위가 내부 조사에 의해 드러나는 경우가 있다. 전자든 후자든 얼마나 많은 정보가 유출됐는지 판단하는 것은 어려운 일이다. 유출이 서드파티에 의해 드러날 경우, 유출된 정보의 샘플 하나를 확인할 수 있을 뿐이고 공격자가 얼마나 많은 정보를 더 갖고 있는지는 확인할 길이 없다.

내부 조사로 침해 사실을 발견했을 경우도 마찬가지다. 공격자가 파일 하나 또는 데이터베이스 하나에 접근했다면, 포렌식 조사에서는 다르게 나타나는 수법을 이용해서 또 다른 자원에 접근했을 가능성도 충분이 있다. 예컨대, A파일에 접근할 때는 A사용자로 로그인하고, B파일에 접근할 땐 B사용자 계정으로 로그인하는 것이다. 침해 사건 하나의 규모를 파악하는 건 엄청난 양의 수사와 추산이 따르는 일이다.

야후가 제시한 어림수는 이를 완벽하게 설명한다. 야후 고객사 중에서 사용자 정보를 5억 개와 10억 개로 깔끔하게 정리해서 보관해온 회사는 거의 없다. 처음에 야후는 특정 정보에 누군가 접근했다는 증거를 찾은 뒤, 그 증거를 기반으로 추산을 시작해야만 했을 것이다. 그러나 추산에는 언제나 한 가지 요소가 있다. 다르게 표현하자면, ‘어림짐작’이라는 게 항상 포함된다. 야후가 최근 발표한 성명서를 잠깐 살펴보자. “야후가 최근 입수한 새로운 정보에 따르면, 야후의 사용자 계정 전체가 2013년 8월 해킹에 의해 영향 받은 것으로 추정된다.” 특정한 상황을 통제하면서 가능한 한 투명하고 책임감 있게 조사하려고 할 때, 기업들은 각각의 단계마다 자사만의 경험에 기초해서 각종 추측을 내놓고 이를 수정하려는 유혹에 이끌린다.

지체 시간에서의 지체
기업이 이런 수치를 제대로 측정하지 못하게 만드는 장애물은 또 있다. 바로 지체 시간(lag time)이다. 야후가 해킹 사실을 공표한 건 실제 해킹이 벌어진 지 수년 뒤에나 이뤄진 일이다. 에퀴팩스(Equifax)도 마찬가지였다. 침해 탐지와 침해 사실 공지 사이에는 약 6주에 달하는 상당한 시간이 지체돼 있다. 노련한 공격자들은 시스템 취약점을 찾는 데 능숙할 뿐만 아니라 조심스럽게 정보에 접근하면서 자신의 흔적을 지우는 데도 충분한 시간을 갖고 있다. 여기다 기업의 자체적인 분석 역량에 지장을 주면 추가적으로 수년의 세월이 더 붙는다. 정기적인 로그 파일 삭제 등으로 인해 포렌식이 어려워지면 승인 없는 접근을 탐지하고 피해를 추산하는 것이 훨씬 더 어려워진다.

많은 측면에서 지체 시간은 가장 치명적인 문제다. 침해가 발견되기 전에 수일, 수주, 수년이 흐르게 되면, 공격자는 그 시간 동안 완전한 가치를 지닌 정보를 빼낼 수 있다. 언젠간 침해를 발견하긴 한다면 말이다. 훔친 사용자명과 비밀번호는 크리덴셜 스터핑(credential stuffing) 공격에 사용돼, 은행, 항공사, 정부기관을 포함한 유명 회사들의 수백만 개 계정을 침해할 수도 있다. 기업들은 유출된 크리덴셜을 다크넷에서 찾아보라고 권고하는 미국 국립표준기술연구소(NIST)의 최신 가이드라인을 따르기 시작했다. 그러나 그러는 동안에도 원래의 공격자는 계정을 해킹하기 위해 크리덴셜을 사용하고 있을 것이다. 그땐 이미 크리덴셜이 상용화돼서 가치가 사라진 후일 것이다.

그렇다면 우리는 정보 유출 통계에 대해 어떻게 생각을 바꿔야 할까? 먼저, 대규모 유출이 이미 발생했을지도 모르고 아직 발견되지 않았을 가능성에 대해 기억해야 한다. 우리는 우리가 알고 있는 유출에 대해서만 이야기할 수 있다. 공격자가 더 노련할수록, 침해를 탐지하기까지 더 많은 시간이 필요할 것이다. 두 번째로 기억해야 할 것은 정보 유출이 자연재해와 같다는 사실이다. 즉, 크리덴셜 스터핑, 계정 탈취, 신원 도용, 기타 사기 등등을 포함해 인터넷 생태계와 경제를 아울러 각종 영향이 뒤따른다는 점을 기억해야 한다. 정보 유출의 간접적인 영향은 최초의 유출 규모보다 수량화하는 게 더 어려운 데다 총 피해 규모로 봤을 때 최초의 유출 규모를 훌쩍 뛰어 넘을지도 모른다.

정보 유출 규모가 더 크게 의심될수록 더 많은 이목을 끈다. 그러나 문제 범위는 너무 크고 수량화하기도 어렵다. 고객과 기업 사용자가 직면한 위험을 고려할 때, 추산치는 정말 빙산의 일각일 뿐이다. 그래서 우리는 해커가 빼돌린 정보 덩어리의 크기에 집중해서는 안 된다. 집중해야 할 것은 침해 날짜와 침해 사실을 발견한 날짜 사이에 놓여 있는 간극이다. 진짜 위험한 일이 벌어지는 그 시간 말이다. 이 시간 동안 사이버 범죄자들은 훔친 정보를 이용해 더 많은 계정을 해킹하고, 더 많은 정보와 신원을 훔쳐내면서 중간에서 돈을 가로채는 등 가장 큰 피해를 입힌다. 기업 사용자와 고객이 똑똑하게 대처하는 방법은 바로 강력한 비밀번호를 만들고, 그 비밀번호를 여러 사이트에서 중복해서 사용하지 않으면서, 금융 계좌를 모니터링하고 나아가 온라인 서비스에서 공유하는 모든 정보와 관련해 주의를 기울이는 것이다.

글 : 슈만 고셈마줌더(Shuman Ghosemajumder)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>