대형 온라인 커뮤니티 레딧, 해킹 당해 일부 개인정보 유출

SMS 기반 인증 시스템, 문자 가로채기로 간단하게 뚫을 수 있어
레딧, 토큰 기반으로 변경...전문가들 사이에서 레딧 일 처리 두고 의견 갈려

[보안뉴스 문가용 기자] 대형 인터넷 커뮤니티 레딧(Reddit)의 직원들 몇몇의 계정을 누군가 침해했다. 하필 레딧의 클라우드 및 소스코드 호스팅 제공업체와 관련된 직원들이라 중요 시스템에까지 도달할 수 있었다고 한다. 특히 레딧 내 사용자 정보 일부와 2007년도의 데이터 백업본에 해커의 손이 닿았다.

[이미지 = iclickart]

레딧은 해킹에 당한 사실을 사용자들에게 알리며 “이중 인증 장치를 오래전부터 도입해 안심하고 있었는데, 이번 사건으로 확인해본 결과 SMS 기반 인증 시스템은 그리 탄탄하지 않다는 걸 알게 되었다”고 밝혔다. 그러면서 이번 공격이 “SMS 가로채기를 통해 성립됐다”고도 썼다.

보안 업체 포타닉스(Fortanix)의 CEO 암부이 쿠마르(Ambui Kumar)는 “원래 SMS에 기반을 둔 이중 인증은 그리 튼튼하지 못하다”며 “레딧은 비싼 값을 치루고 이 사실을 배운 것 같다”고 말했다. “공격자들 입장에서 가짜 기지국을 만들거나 가입자 하이재킹 공격을 함으로써 문자메시지를 가로채는 건 매우 쉬운 일입니다. 레딧에서 발생한 사건도 바로 이 문자메시지 가로채기고요.”

또 다른 보안 업체 웹루트(Webroot)의 수석 위협 분석가인 타일러 모핏(Tyler Moffitt)은 “물론 SMS 이중 인증이 비밀번호 보다 안전한 건 사실이지만, 공격 가능성 또한 높다는 건 이미 유명인들의 해킹 사건을 통해 익히 봐온 것”이라고 지적했다. “전화번호라는 게 얼마나 약한 고리인지 몰라요. 사이버 범죄자들은 여러 방법을 통해 전화번호를 훔칠 수 있습니다. 예를 들어 사회보장번호 4자리, 신용카드 번호, 주소 등만 있으면 무선 통신 업체로부터 전화번호를 얻어낼 수 있는데, 이런 정보는 다크웹에 널리고 널렸습니다.”

쿠마르는 “그럼에도 많은 금융 기관에서 고객들에게 문자 기반 이중 인증을 서비스하고 있다”고 말한다. “이미 작년에 NIST에서 문자 기반 인증 시스템이 취약하다고 발표했습니다. 그러므로 이중 인증의 사용은 제한될 필요가 있습니다. 이중 인증 자체야 보안을 강화시켜주는 게 맞지만, 여기에 문자라는 요소가 들어가면 효과가 반감됩니다.”

레딧이 해킹 사실을 인지한 건 6월 19일이다. 해킹 자체는 6월 14~18일 사이에 발생했는데, “고통스러운 조사 결과 공격자가 쓰기 권한까지 얻어내지는 못했다는 걸 알아냈다”고 한다. “백업 데이터와 소스코드, 로그 등이 저장된 시스템으로의 읽기 전용 접근 권한만 취득했더군요. 그래서 데이터를 조작하는 등의 행위는 할 수 없었습니다.”

공격자가 손을 댄 데이터는 2007년 이전의 모든 데이터로 크리덴셜과 이메일 주소 등이 여기에 포함된다. 또한 데이터베이스 백업에도 접근 성공했는데, 여기에는 2005년부터 축적된 사용자 데이터가 들어있었다. 2005년은 레딧이 처음 탄생한 해다. 2007년 5월분까지의 데이터가 이 백업 DB에 저장되어 있었다.

“이 백업 서버에 저장된 데이터 중 가장 중요한 건 계정 크리덴셜로 1) 사용자 이름, 2) 해시 및 솔트 처리까지 된 비밀번호, 3) 이메일 주소가 바로 그것입니다. 또한 그 당시 사용자들이 생성한 각종 콘텐츠도 들어있었습니다. 물론 애초에 공개된 콘텐츠이긴 합니다만, 일부 비밀 메시지도 포함되어 있었습니다.” 레딧의 설명이다.

레딧은 관련 정부 기관에 해킹 사실을 보고했고, 사용자들에게도 해킹 사실을 알렸다. 또한 보안 강화 조치도 취해가고 있는 중이라고 발표했다. 여기에는 암호화 기능 추가, 토큰 기반의 이중 인증으로 대체 등이 포함되거나 그럴 예정이다. 또한 레딧 시스템에 대한 권한도 세밀하게 조정했다고 한다.

보안 업체 레이스워크(Lacework)의 최고 보안 아키텍트인 댄 허바드(Dan Hubbard)는 “레딧이 일을 투명하게 처리하고 있다”며 칭찬했다. “또한 토큰 기반의 이중 인증으로 체제를 전환하는 것도 희소식입니다. 토큰 기반 인증은 문자 기반보다 훨씬 단단하거든요.”

하지만 보안 업체 타이코틱(Thycotic)의 최고 보안 과학자인 조셉 카슨(Joseph Carson)은 “데이터 유출 사고가 별 일 아닌 것처럼 대응하고 있다”고 우려를 표현했다. “읽기 전용 권한만 얻어갔다느니, 데이터를 조작할 수 없었다느니 하는 말은 민감한 개인정보를 해커가 읽을 수 있었다는 것의 심각성을 흐리게 하는 표현들입니다. 물론 쓰기 권한까지 가져간 것보다야 낫지만, 그렇다고 누군가의 개인정보가 원치 않게 공개됐다는 것도 심각한 현실이거든요.”

3줄 요약
1. 해외 대형 커뮤니티 레딧, 해킹 당해 민감한 데이터 일부 노출됨.
2. 아무리 이중 인증 시스템을 갖춰도 문자를 기반으로 한 것이면 비밀번호보다 조금 나은 수준.
3. 레딧, 투명하게 일 처리 하고 있다 vs. 레딧, 유출 사고를 너무 가볍게 보고 있다
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)