고객 명단 유출된 애슐리 메디슨 사태의 의미와 예후

협박 범죄 늘어날까? 검색이 갈수록 쉬워지고 있어 아닐 듯

신용카드로 발생되는 프라이버시 문제 - 비트코인 수요 높아지나

[보안뉴스 문가용] 애슐리 메디슨(Ashley Madison) 사태가 소니 픽처스 사태 및 해킹팀 사태와 다른 점은, 물론 여러 가지가 있겠지만, 공격자들이 페이스트빈(Pastebin)과 같이 대단히 많은 사람들이 오가는 곳에 자기들이 훔친 자료를 공개하지 않았다는 것이다. 어제도 밝혔지만 애슐리 메디슨을 공격한 임팩트 팀(Impact Team)은 적지 않은 양의 자료를 토르로만 접속이 가능한 다크웹에 올렸다. 다크웹이란 보통의 인터넷 사용자라면 평생 가볼 일이 없는 곳이며, 대부분 범죄자들 혹은 불법적인 거래를 모색하는 이들이 찾는 곳이다.

그렇다면 ‘왜?’라고 물을 수밖에 없다. 협박이나 사기 등 범죄자들의 흔한 범죄 수법에 좀 당해보라고 일부러 그런 것일까? 화이트햇 시큐리티(Whitehat Security)의 부회장인 로버트 한슨(Robert Hansen)은 “그렇지는 않을 것”이라고 답한다. “임팩트 팀이 겨냥하는 건 애슐리 매디슨이지 일반 고객 한 사람 한 사람은 아닌 것으로 보입니다. 그냥 스스로의 정체를 감추려고 토르를 사용한 것으로 보입니다. 조심성에서 비롯된 일이라는 거죠.”

하지만 그들의 동기야 임팩트 팀 당사자들이 아닌 이상 100% 정확하게 알 수는 없는 노릇. 온라인 사설 탐정 서비스를 제공하는 트러스티파이(Trustify)에서는 ‘왜?’보다는 ‘급한 불 끄기’에 초점을 맞췄다. 그래서 해당 자료를 입수해 사람들이 이메일 주소만 입력하면 자신의 정보가 다크웹에 올라가 있는지 확인해볼 수 있는 사이트를 개설했다.

한슨에 따르면 이번에 유출된 정보 안에 2천 8백만 개의 이메일 주소가 존재한다. 지메일 계정이 8백 7십만 개, 야후 계정이 6백 62만 개, 핫메일이 6백 24만 개 정도였단다. 그밖에 .mil이나 .gov가 붙은 주소들도 발견할 수 있었다. 회사 고유 도메인도 셀 수 없을 정도로 많았다. 심지어 마이크로소프트, 애플, 시스코, 뱅크오브아메리카 등 손꼽히는 유명 기업 이메일 주소로도 이 불륜 조장 사이트에 가입한 사람들이 적지 않았다는 것.

“그러나 이들이 다 ‘진짜’ MS나 애플의 메일 주소는 아니었습니다. 유명한 회사의 도메인인 것처럼 보이는 가짜 주소를 써서 가입한 사람도 많다는 것이죠. 버락 오바마라는 이름으로 가입된 회원도 수두룩 합니다. 즉 이번에 유출된 정보들에 가짜가 꽤나 포함되어 있다는 뜻이며, 그렇기 때문에 이 정보를 악용하려는 사람의 입장에서도 진짜를 가려내는 일부터 해야 합니다. 일단 임팩트 팀에서는 이 자료를 정성들여 분석하지는 않은 듯 합니다.”

혹여 이 정보를 악의적이지 않은 마음으로 분석하려는 여러 보안 전문가 및 전문 업체가 조심해야 할 부분도 역시 이 ‘가짜와 진짜의 구분’이라고 그는 강조한다. “애슐리 메디슨이라는 사이트 특성상 ‘의혹’만 받아도 평판과 명성에 큰 해를 입을 수 있습니다. 유명인이 ‘성폭행 의혹!’이라는 기사에만 이름이 올라와도 진실 여부와 상관없이 사실상 매장되는 것과 마찬가지죠. 즉, 이번 사건의 가장 큰 책임자는 자신들의 서비스가 그런 어마어마한 위험성을 내포하고 있다는 걸 알고도 고객의 정보를 관리하고 보호하는 데에 실패한 애슐리 메디슨입니다.”

또 다른 보안회사인 알러트 로직(Alert Logic)의 수석연구원인 스티븐 코티(Stephen Coty)는 이런 이유로 “이번 사건 때문에 협박 범죄가 급증하지는 않을 것”으로 내다봤다. “또 다른 이유가 있다면, 현재 이 정보들을 확보해 검색이 가능하도록 서비스하는 사이트들이 속속 등장하고 있다는 겁니다. 자신의 사이트에 트래픽을 올리기 위해서요. 그런 사이트들이 당분간 늘어날 텐데, 그렇다면 ‘내 배우자’나 ‘내 애인’이 애슐리 메디슨의 고객이었는지 아닌지 검색하기도 쉬워지는 거죠. 즉, 데이터가 너무나 빠르게 퍼지고 있어서 오히려 협박으로 이득을 볼 수 없게 되는 겁니다.”

하지만 그렇다고 이 일의 파장이 작을 거라는 뜻은 아니라고 그는 강조한다. “일단 검색을 해서 내 배우자가 애슐리 사이트를 사용하고 있었다는 게 드러나는 순간 문제가 시작되는 거죠. 게다가 이번에 카드 사용 내역도 전부 유출되었거든요. 호기심에 가입만 하고 사용은 하지 않았다는 변명이 안 통하는 겁니다. 카드로 지출을 얼마나 했느냐에 따라 애슐리 메디슨이라는 사이트를 얼마나 깊이 있게 사용했는지도 드러나니, 아마 이는 작은 문제가 아닐 겁니다.”

“이메일 주소가 대부분 가짜라고 한들, 신용카드 정보까지 가짜일 수는 없습니다.” 서프와치 랩스(SurfWatch Labs)의 창립자인 제이슨 폴란키치(Jason Polancich)도 신용카드 문제를 거론했다. “애슐리 메디슨에 가입하려면 신용카드 정보가 필요해요. 이러면 가명으로 가입하는 게 불가능해지죠. 즉 이번 사건을 통해 적나라하게 드러난 건 인터넷 세상은 사실 전혀 익명성이 보장되는 장소가 아니라는 겁니다. 신용카드 역시 전혀 익명성을 보장해주지 않는 시스템입니다. 오히려 개인을 적나라하게 드러내죠. 이는 커다란 시스템의 오류라고 봅니다. 제가 예상하기로는, 이번 사건 이후로 일반인들의 비트코인 사용이 더욱 활성화될 것이라고 봅니다. 이런 사건 하나하나가 쌓여 시대가 바뀌는 것이죠. 인터넷의 프라이버시, 사이버 공간의 익명성을 다시 한 번 검토해봐야 하는 때입니다.”

또한 이번 사건으로 애슐리 메디슨을 운영하는 ALM 미디어 그룹 전체가 타격을 받은 것 역시 분명하다. 사실상 기업의 존폐 여부가 달릴 정도의 사건으로 치닫고 있다. 이 또한 시사하는 바가 없지 않다는 게 라드웨어(Radware)의 부회장인 칼 허버거(Carl Herberger)의 설명이다. “단 한 번의 정보 유출사고가 업체를 아예 망하게 할 수 있다는 걸 다시 한 번 상기하게 합니다. 온라인 서비스가 위주인 업체라면 이 메시지를 심각하게 받아들여야 합니다. 온라인 사업이라면 이제 강도 높은 보안이 필수 덕목입니다. 애슐리 메디슨 사태와 같은 일은 과거에도 일어났었고 지금도 일어나고 있으며, 고로 앞으로도 누구에게나 일어날 수 있는 일입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)