젠투 리눅스 깃허브 계정의 관리자 비밀번호, 쉬워서 공격 성립
사건에 대해 발표할 때 정직하고 숨기는 것 없어야...다중인증 역시 필수

[보안뉴스 문가용 기자] 한 관리자 계정의 약한 비밀번호 때문에 공격자들이 젠투 리눅스(Gentoo Linux)의 개발자들의 깃허브 계정이 침해됐다. 그래서 젠투 리눅스 개발자들이 오히려 깃허브로의 접근이 차단 된 상태로 한 동안 있어야 했다고 한다.


공격은 6월 28일에 발생했다. 계정을 침해한 공격자들은 젠투 리눅스의 콘텐츠도 변경하며 악성 코드를 주입했다. 아직 이 악성 코드에 대해서는 분석이 진행 중에 있는데 최종 사용자 콘텐츠를 삭제하는 기능이 먼저 발견됐다고 한다. 다만 젠투 리눅스 내에 여러 안전장치가 있어 콘텐츠의 완전 삭제는 방지할 수 있었다고 한다.

이 공격 때문에 젠투 개발자들은 약 5일 간 깃허브 계정인 젠투 깃허브 조직(Gentoo GitHub Organization)을 사용할 수 없었다. 그러나 지금은 계정을 되찾고 악성 코드를 확보하는 데 성공했다. 또한 젠투 리눅스 역시 이전 상태로 복구됐다.

젠투 리눅스 측은 자체 수사를 통해 공격자들이 관리자 비밀번호를 알아낸 후, 이를 활용해 계정에 접근했음을 알아냈다고 발표했다.

젠투의 깃허브 계정은, 젠투 리눅스 소스코드의 유일한 백업 장소다. 원본은 젠투 리눅스 인프라에 따로 보관되어 있는데, 여기까지 공격자가 들어온 것으로 보이지는 않는다. 젠투 리눅스에서 사용되는 디지털 서명 코드 또한 공격자가 접근하지 못한 것으로 보인다. 그러므로 젠투 리눅스와 관련된 디지털 서명은 여전히 신뢰할 수 있다고 젠투 측은 발표했다.

보안 업체 소포스(Sophos)의 수석 테크니션인 폴 더클린(Paul Ducklin)은 “이번 사건에서 최소한 세 가지 시사점을 발견할 수 있다”고 설명한다.

“먼저는 상세하고 투명한 사고 경위 보고서가 얼마나 좋은지가 드러났습니다. 젠투는 보통의 사건 발표에서처럼 마케팅적인 내용을 이번에 하나도 넣지 않았습니다. 기업들의 흔한 발표문이나 변명과 달리 자신들이 이번 사건에 대해 뭘 알고 있고 뭘 아직 모르는지 온전히 밝혔죠. 그러니 많은 사람들이 오히려 사건 자체에 더 주목하게 되었고, 개발자 및 리눅스 커뮤니티가 도움을 제공하려고 나섰습니다.”

“두 번째는 쉬운 비밀번호를 사용하는 게 얼마나 위험한가 입니다. 비밀번호를 누구나 추측하기 쉽게 설정했을 때의 위험을 우리는 잘 알고 있습니다. 그 동안 이에 관해 많은 경고의 목소리들이 있기도 했고요. 공격자가 비밀번호를 알아내는 순간 대부분의 공격은 레이더에 걸리지 않게 됩니다. 실제로 비밀번호 탈취 후 일어난 공격을 수개월에서 수년 지나서야 겨우 알게 되는 사례도 많죠.”

사실 젠투 역시 침해 사실을 더 늦게 알아냈을 가능성이 높다. 공격이 매우 ‘시끄러웠기’ 때문에 비밀번호 탈취 공격임에도 빠르게 탐지할 수 있었던 것이다. 만약 공격자들이 계정을 다 차지하고 본래 젠투 개발자들의 접근을 허용하지 않은 것이 아니라, 몰래 들락날락 거리며 코드를 조금씩 변조시켰다면 생각보다 발견이 늦어졌을 것이다.

더클린은 “많은 사람들이 여러 서비스에 같은 비밀번호를 사용하거나, 끝에 글자나 기호, 숫자 한두 개 더 첨가하는 식으로 변경하는데, 이런 비밀번호 설정 습관은 좋지 않다”고 설명한다. “그런 식으로 한다고 해도 패턴이 남게 되고, 그 패턴은 해커들의 눈에 쉽게 띕니다. 기억하기가 힘들다면 비밀번호 관리 프로그램을 사용하는 게 훨씬 낫습니다.”

또한 더클린을 “세 번째 시사점은 다중인증의 필요성”이라고 짚는다. “비밀번호라는 장치 하나만으로 신뢰를 형성하는 건 요즘 같은 환경에서 매우 위험한 행위입니다. 단단한 신뢰를 만들어내기 위해서는 보다 어렵고 강력한 인증 시스템이 필요합니다. OTP 같은 장치만 사용해도 해커들의 공격을 훨씬 힘들게 만들 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>