• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

침해 사고 당한 델, 모든 고객의 비밀번호 새롭게 변경 2018.11.30

델 네트워크에 침투한 해커, 사용자 크리덴셜 정보에 접근해
정확한 피해 규모 밝혀지지 않아...해싱 알고리즘에 대한 궁금증 커져

[보안뉴스 문가용 기자] 델(Dell)이 운영하는 온라인 스토어에서 데이터 침해 사고가 발생했다. 이 때문에 스토어 고객들의 이름, 이메일 주소, 해시된 비밀번호가 밖으로 새나간 것으로 보이고, 이 때문에 델은 온라인 스토어의 모든 고객들의 비밀번호를 새로 고쳤다.

[이미지 = iclickart]


이번 주 델이 발표한 권고문에 따르면 지난 11월 9일 누군가 델의 네트워크에 침투해 불법적인 행위를 보였다. 여기서 불법적인 행위란 고객들의 데이터를 훔치려는 시도를 의미한다. 다만 공격자가 실제 탈취에 성공했느냐 시도만 했느냐를 말해줄 정확한 증거는 아직까지 발견되지 않았다. “그래도 일정 정보가 델의 네트워크로부터 다른 곳으로 전송됐을 가능성을 배제할 수는 없습니다.”

피해의 파급력을 최소화하기 위해서 델은 Dell.com에 등록된 사용자 모두의 비밀번호를 새롭게 변경했다. 사용자들이 이 사이트에 들어가 로그인을 시도하면, 비밀번호를 변경하라는 창이 뜨는 것을 볼 수 있게 된다. 똑같은 비밀번호를 사용하고 있는 다른 사이트나 온라인 서비스로 가서 비밀번호를 변경하는 게 좋을 것이라는 권고도 같이 발송했다. Dell.com 외에도 Premier, Global Portal, support.dell.com에 등록된 고객들 모두 이번 비밀번호 변경의 대상이라고 한다.

현재까지 조사된 바에 의하면 공격자들이 노린 건 신용카드 정보나 다른 민감한 고객 정보가 아닌 것으로 보인다. 델의 제품이나 서비스에도 공격의 영향이 미치지 않았다고 델은 발표했다. 그러나 피해 규모에 대해서 델은 아직까지 아무런 언급을 하고 있지 않다. 보안 업체 하이테크 브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 “적지 않은 숫자일 것”이라고 예상했다.

“이렇게 대대대적으로 비밀번호를 새롭게 고친다는 건, 모든 고객들이 사건에 휘말렸다는 뜻인 것이 보통입니다. 만약 델에 등록된 모든 사용자가 영향을 받았다면, 엄청난 숫자겠죠. 그렇지 않다면 왜 이렇게까지 조치를 취해야 했는지 설명이 있어야 할 것입니다.” 그러면서 콜로첸코는 “피해 규모를 밝히지 않아 고객들과 제3자가 마음대로 상상하게 하는 게 그리 현명해 보이지는 않는다”고 덧붙였다.

대대적인 비밀번호 변경은, 델이 고객 비밀번호를 보관하는 방식에 자신감이 없다는 뜻도 될 수 있다. 예를 들어 비밀번호를 해시하는 데 사용했던 알고리즘이 약하다든가, 관리 시스템이 무작위 대입 공격에 당할 수 있다는 가능성을 스스로 인지했을 수도 있다.

보통 비밀번호의 해싱은 사이버 범죄자들이 비밀번호를 훔쳐간다고 하더라도 쓸모없게 만드는 데 그 목적이 있다. 그러나 해싱 알고리즘이 약하다면 이런 시도도 소용이 없게 된다. 보안 업체 셰이프 시큐리티(Shape Security)의 엔지니어링 책임자인 재러드 오버슨(Jarrod Overson)은 “아직까지 세부 사항이 밝혀지지 않아 알 수 없지만 최악의 사태를 대비하는 게 안전할 것”이라고 말했다. “예를 들어 MD5와 같은 알고리즘은 크래킹이 매우 쉽거든요. 최소한 비크립트(bcrypt)와 같은 알고리즘을 사용하는 게 낫습니다.”

사이버 범죄자들이 활동하는 지하 암시장에서는 이메일 계정 정보와 비밀번호가 ‘스테디셀러’ 취급을 받는다. 비밀번호가 이처럼 중요한 데이터가 되는 이유는 기본적으로 “사용자들이 대부분 같은 비밀번호를 여기저기 사용하기 때문”이다. 즉 델 같은 곳 한 곳만 침해하면 다른 많은 서비스들도 턴 것과 비슷한 효과를 낼 수 있다는 것이다.

이것과 연계하여 발전된 공격이 바로 크리덴셜 스터핑(credential stuffing)이다. 유출된 크리덴셜을 구입한 공격자들이 자동화 기술을 사용해 여러 웹사이트들에 대량의 비밀번호를 대입하는 것을 말한다. 이 때문에 비밀번호 설정과 잦은 변경의 중요성이 대두되고 있기도 하고, 그 반대편에서는 비밀번호를 더 이상 사용하지 말자는 주장도 나오고 있다.

보안 업체 사이버세인트(CyberSaint)의 CEO인 조지 렌(George Wrenn)은 “결국 이번 델 침해 사고의 핵심은 ‘비밀번호의 해싱 알고리즘이 얼마나 강력한가’일 것”이라며 “전체 비밀번호 변경이라는 조치를 취한 건, 델이 이 문제를 해결하기 위해 진지한 자세로 임하고 있다는 뜻”이라고 설명했다.

3줄 요약
1. 델에 누군가 침입해 계정 정보에 불법적인 접근.
2. 델은 모든 고객 계정의 비밀번호를 새롭게 바꾸는 극단적인 조치를 취함.
3. 이에 대한 시장 반응 : 델이 해싱 알고리즘에 자신이 없다 vs. 문제 해결에 적극적으로 임하는 것이다
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>