10월에 누군가 서버에 침투해 직원들 개인정보 가져간 것으로 보여
뿌리 깊은 NASA의 보안 문제...미국 모든 연방 기관의 문제이기도 해

[보안뉴스 문가용 기자] NASA에서 정보 유출 사고가 발생해 수사가 시작됐다. 2006년 7월 이후 NASA에서 근무했던 모든 사람들의 개인 식별 정보와 사회보장번호가 유출된 것으로 보인다.


NASA의 인사부 책임자인 밥 깁스(Bob Gibbs)는 12월 18일자 내부 메모를 통해 “10월 말 경 몇몇 서버들을 조사하다가 유출 사고의 가능성이 발견됐다”고 알렸으며, “침해를 당했을 가능성이 높은 서버에는 NASA 직원들의 개인 식별 정보가 저장되어 있었다”고 밝혔다. “NASA의 사이버 보안 팀은 즉각 행동에 나섰으며, 나머지 서버들과 데이터를 안전하게 보호하는 데 성공했다”고 마무리 된 메모에는 구체적인 설명이 없었다.

NASA 및 기타 연방 사이버 보안 관련 파트너들은 현재 포렌식 분석을 실시하는 중이다. 목적은 공격자 및 공격에 대한 정보를 모으고, 피해 규모를 파악하는 것이다. 시간이 어느 정도 걸릴 예정이지만 현재 NASA 측은 이를 최우선 과제로 두고 일을 진행하고 있다.

NASA의 대변인은 “이번 침투로 인해 NASA의 여러 가지 임무와 관련된 정보가 새나간 것으로 보이지 않지만 이번 일을 계기로 NASA 내 모든 서버와 시스템들을 점검하기 시작했다”고 발표했다. 또한 “최신 보안 실천 사항이 제대로 적용되고 있는지도 돌아보고, 부족한 부분을 파악, 보충하는 데 힘을 쏟고 있다”고도 설명했다. 하지만 유출 사고를 공개하는 데 왜 시간이 오래 걸렸는지에 대해서는 아무런 해명이 없었다.

2017년 11월 NASA의 관리 및 업적 평가에서 감사자였던 폴 마틴(Paul Martin)은 “IT 거버넌스와 정보 보안 문제가 가장 크다”고 지적한 바 있다. 당시 NASA는 2년 동안 3000번에 가까운 보안 사고를 겪은 바 있으며, 대부분 멀웨어 감염이나 비승인 접근과 관련된 것이었다. 누군가 2년 동안 3천 번이나 멀웨어를 심거나 시스템에 접근한 것이었다.

당시 폴 마틴의 보고서는 “공격자들의 유형은 다양하다”고 결론지었다. “NASA라는 유명한 기관을 재미로 혹은 자신의 실력을 시험하기 위해 공격하는 자들도 있었고, 뭔가 이득을 얻고자 공격하는 조직된 해킹 범죄 단체도 있었으며, 해외 첩보 기관이 지원하는 전문가들도 있었습니다.” 심지어 NASA에 사보타쥬를 가하기 위한 공격도 있었다.

즉, NASA의 보안 문제는 하루 이틀 된 것이 아니라는 뜻인데, 이에 NASA는 여러 가지 보안 강화 정책을 도입했다. 네트워크 침투 테스트를 더 광범위하게 적용하기 시작했고, 사건 대응력에 대한 평가를 더 엄격히 했으며, 침투 탐지 시스템도 강화했다. 웹 애플리케이션 보안 스캐닝 역시 증가시켰다. 그렇지만 보안 문제는 해결될 기미가 보이지 않았다. 거버넌스는 개선되지 않았고 탐지와 대응 간에 격차가 심했으며, 모니터링 툴과 웹 앱 보안 툴은 제대로 기능하지 않았다. OT와 IT를 구분하지 않는 NASA의 정책도 문제였다.

이번에 발생한 보안 사고를 통해 NASA의 뿌리 깊은 보안 문제는 여전히 해결되지 않고 있다는 것이 드러났다. 그런데 보안을 제대로 하지 못하고 있는 미국의 연방 기관은 NASA만이 아니다. 작년 미국의 대민 연방 정부 기관은 57억 달러를 보안에 투자한 바 있다. 그렇지만 다양한 문제들이 아직도 여기저기서 발견되고 있는 상황이다. 백악관의 관리예산처는 5월 보고를 통해 “네트워크 가시성, 표준화된 프로세스의 부재, 상황 인지 부족 문제가 특히 해결되지 않고 있다”고 지적했다.

보안 업체 원스팬(OneSpan)의 글로벌 정책 책임자인 마이클 매그래스(Michael Magrath)는 “NASA에서 최근 발생한 침해 사고는 예견된 것”이었다고 말한다. “NASA는 해커들이 늘 건드려보고 싶은 대상이며, 조직이 워낙 크고 복잡해 보안이 어렵기 때문입니다. 인력도 많아 수집할 수 있는 개인정보도 풍부하고요. 정부 기관이 이런 상태라는 건 국가 안보에 커다란 구멍이 있다는 뜻이 됩니다.”

이에 관리예산처는 문제 해결을 위해 새로운 정책을 발표, 도입할 예정이다. 이는 ‘신원, 크리덴셜, 접근 관리 정책(Identity, Credential, and Access Management Policy)’라고 하는데, 줄여서 ICAM이라고 한다. 다중 인증, 디지털 서명, 암호화 적용 등을 보다 광범위하게 ‘필수’로 만들 것이라고 알려져 있다. 매그래스는 “이 시도가 연방 정부로 들어가는 사이버 공격의 성공률을 떨어트렸으면 좋겠다”고 말했다.

불행 중 다행인 건 “이미 2015년에 발생한 OPM 해킹 사건을 통해 연방 정부 기관 근무자들의 정부가 많이 새나갔기 때문에 이번 NASA 해킹 사건이 특별한 추가 피해를 야기하지는 않을 것이라고 보인다”는 것이다. 보안 업체 서커던스(Circadence)의 부회장인 키난 스켈리(Keenan Skelly)는 “이미 공격자들 사이에서는 다 확보된 정보가 다시 한 번 유출된 것일 가능성이 높다”고 분석했다.

3줄 요약
1. NASA에 누군가 침해해 직원들 개인 식별 정보 담겨진 서버에 접근한 듯.
2. NASA의 보안 문제는 뿌리 깊어, 이러한 소식에도 별로 놀라지 않는 여론이 더 놀라움.
3. 미국 연방 기관 보안 문제 해결키 위해 관리예산처 곧 새 정책 발표할 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>