• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

WHO 요원들의 이메일 주소와 비밀번호 유출됐다 2020.04.27

정체를 알 수 없는 한 단체, 온라인에 데이터 덤핑하며 “WHO 요원들 정보” 주장
여러 의료 기관들의 정보도 유출되었다는 주장 나오기도...다크웹 장사꾼들의 리패키징?

[보안뉴스 문가용 기자] 세계보건기구(WHO)가 현재 활발히 사용하고 있는 450여 개의 이메일 주소와 비밀번호가 온라인으로 유출되는 사고가 발생했다. 최근 WHO의 구성원들을 겨냥한 사이버 공격이 폭발적으로 증가하는 가운데, 터질 게 결국은 터진 느낌이다.

[이미지 = iclickart]


WHO는 현재 전 세계적으로 진행되고 있는 코로나19 사태에 앞장서서 대응을 하고 있는 여러 조직들 중 하나다. 따라서 여러 공격에 이름이 도용되기도 하고, 실제 공격의 대상이 되기도 한다. 그런데 최근 정체를 알 수 없는 조직 하나가 WHO의 내부 이메일과 비밀번호라고 주장하며 데이터 뭉치를 온라인에 공개했다.

이런 사실에 대해 처음 보고서를 발표한 건 사이트 인텔리전스 그룹(SITE Intelligence Group)이고, 이를 인용해 워싱턴포스트가 이 같은 사실을 처음으로 보도했다. 보고서와 보도에 따르면 WHO만이 아니라 빌게이츠재단(Gates Foundation), 미국 질병통제예방센터(US Centers for Disease Control and Prevention), 국립보건원(National Institutes of Health)의 이메일 주소와 비밀번호도 최근 유출된 바 있다고 한다.

이런 단체들에서 최근 새나온 이메일 크리덴셜은 총 2만 5천여 개 정도 되는 것으로 보인다. 이를 극우단체들과 해커들이 음모론을 퍼트리는 데 사용하고 있다고 사이트 인텔리전스와 워싱턴포스트는 전했다.

여기서 WHO가 가장 전면에 나오는 이유에는, 조직 자체가 갖는 대표성도 있지만, 공개적으로 유출 사실을 인정한 처음 단체라는 부분도 존재한다. 다만 “WHO의 내부 시스템에는 아무런 영향을 미치지 못한다”고 주장했다. 현재 공개된 데이터가 최근의 것은 아니기 때문이다. “하지만 전 근무자들과 파트너들, 다른 국제 기구들이 사용하는 오래된 엑스트라넷에는 영향이 있습니다. 그렇기 때문에 공격에 영향을 받고 있는 시스템들을 보다 현대적이고 안전한 시스템으로 변경하고 있는 중입니다.” WHO가 발표한 내용이다.

공개적으로 인정을 했지만 WHO는 해커들이 어떤 방식으로, 어느 시점에 이메일 주소와 비밀번호를 획득했는지 공개하지 않고 있다. 하지만 “오래된 엑스트라넷”을 언급한 것으로 보아, 침해 자체는 과거에 일어난 것으로 보인다. 보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “피해를 입은 단체들이 코로나와 관련이 깊은 곳들인 것으로 보아 누군가 오래된 크리덴셜을 패키지로 묶어 판매를 시작했을 가능성이 높다”고 주장했다. 어느 새 다크웹을 장악한 ‘장삿속’이라는 것이다.

WHO는 코로나 사태 초기 때부터 꾸준한 공격의 재료이자 대상이었다. 1년 전 동기간에 비해 사이버 공격이 5배나 증가했다고 WHO가 발표하기도 했을 정도다. 공격의 종류는 WHO를 가장한 공격자가 기부금을 노리는 것에서부터, WHO 내부에 침투해 정보를 빼가려는 시도까지 다양하고 광범위하다고 한다.

여러 보안 업체들도 코로나 바이러스나 WHO와 같은 조직을 테마로 한 피싱 공격의 증가에 대해 경고의 목소리를 내고 있다. 특히 크리덴셜 탈취, 멀웨어 설치 등 실질적인 피해를 목표로 한 공격이 이어지고 있다고 알렸다. 공격자들은 코로나 관련 최신 정보라는 식으로 피해자들을 속였다.

그러자 미국의 국회의원 세 명은 중 도메인 등록 업체들에 서신을 보내 코로나 19와 관련되어 만들어지고 있는 가짜 도메인을 줄이거나 삭제하기 위해 정확히 무슨 노력을 기울이고 있는지 공개하라고 요구하기도 했다. 도메인을 생성해 등록하려는 사람들의 의도와 합법성을 파악하기 위해 어떤 프로세스를 도입하고 있으며, 악의적인 목적으로 운용되는 도메인이 발견되었을 때 어떤 조치를 취하는지 구체적으로 설명하라는 내용도 담겨 있었다.

4줄 요약
1. WHO의 이메일 주소와 크리덴셜 유출되어 돌아다니기 시작.
2. WHO는 이메일 유출 사실을 인정하나 “오래된 것”이라는 뉘앙스 풍김.
3. 그 외 다른 비슷한 단체들의 크리덴셜도 공개되기 시작함.
4. 누군가 코로나 사태를 맞아 오래된 정보를 리패키징 한 것으로 의심됨.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>