지난 여름, 제네바와 비엔나의 UN 사무소들 해킹당했었다

내부 기밀 문서 통해 밝혀진 내용...UN은 사건 이후 시스템 강화해
피해 규모 정확히 규정되지 않아 증언들 엇갈려...배후 세력도 오리무중

[보안뉴스 문가용 기자] UN이 해킹을 당한 사실이 내부 기밀 문서의 유출을 통해 밝혀졌다. 이 문서를 제일 먼저 입수한 AP통신은 제네바와 비엔나에 있는 UN 사무실의 여러 서버들이 침해당했다는 내용을 보도했다.

[이미지 = iclickart]

AP통신에 의하면 해킹 공격이 제일 처음 탐지된 건 지난 여름이었고, 고급 기술을 가진 공격자의 소행으로 보이며, 피해 규모는 아직 명확하게 밝혀지지 않았다고 한다. UN은 이 사건 이후 시스템과 네트워크의 보안을 강화했다고 한다. AP통신과 접촉한 익명의 UN 관계자는 공격자의 실력과 수준이 국가 지원 해커들을 연상케 할 정도로 높았다고 말했다.

피해 규모에 대해서는 증언들이 충돌하고 있다. UN 인권 사무소의 대변인인 루퍼트 콜빌(Rupert Colville)은 “인권 사무소는 매일 해킹 시도를 겪는 곳이며, 이번 사건에서 공격자들이 서버를 뚫어내는 데 성공하긴 했지만 민감한 정보에 접근하지는 못했다”고 발표했다. “사무소 직원 목록과 일부 이메일 주소 정도만 침해되었을 뿐입니다.”

AP통신이 입수한 UN 내부 문서에 따르면 인권 사무소에서는 시리아 무력 사태와 내전과 관련된 전범들의 신상과 미얀마의 로힝야족 탄압 사태와 관련된 책임자들의 정보가 저장되어 있다고 한다. 이는 대단히 민감한 정보이며, 최고 비밀로 보관되어 있는데, 해커들이 이 정보에는 접근하지 못한 것으로 보인다.

침해된 UN 서버는 총 42개이며, 그 외 25개 서버도 침해가 의심되는 상황이라고 한다. 이는 제네바와 비엔나에 있는 UN 사무소들 거의 전부가 영향을 받았다는 뜻이 된다. UN은 이 사건 이후 UN의 데이터센터를 인터넷으로부터 분리했으며, 비밀번호를 재정립하고, 시스템에서 모든 의심스러운 요소들을 제거했다고 한다. 이 때문에 UN 소속 기술자들이 주말도 없이 근무한 것으로 알려져 있다.

모바일 기기가 확산되고, 업무를 처리하고 일상 생활을 영위하는 데에 디지털 기술에 대한 의존도가 높아짐에 따라 주요 조직과 개인에 대한 해킹 공격이 큰 위험 요소로 떠오르고 있다. 2018년에는 아마존의 창립자인 제프 베조스(Jeff Bezos)를 사우디 해커들로 보이는 자들이 해킹했고, UN은 미국 정부에 이 사건을 보다 철저히 조사해달라고 요청한 상태다. 이번 주에는 뉴욕타임즈의 국장인 벤 허바드(Ben Hubbard)가 “누군가 내 전화기에 침투하려 했다”고 밝히기도 했다.

UN의 다양한 사무소들 역시 해커들이 노림직한 표적들이다. 특히 인권 사무소는 인권 탄압 등의 문제로 여러 정부들을 비판하고 있는 기관이기 때문에, 국가 지원 해커들이 가장 많이 노릴 만한 곳으로 꼽히기도 한다. 실제 정부가 직접 해커를 운영하며 사이버전을 활발히 펼치는 나라들은, 인권 사무소들의 비판을 많이 받는 국가들이기도 하다.

보안 업체 렌디션 인포섹(Rendition Infosec)의 CEO인 제이크 윌리엄즈(Jake Williams)는 “국가 정부가 배후에 있는 정찰 활동의 일부임이 확실하다”는 입장을 표명했다. “적은 수의 기기들이 표적 공격을 당했다는 것과 세 개의 도메인에서 설정된 계정들이 침해당했다는 것만 봐도 확실합니다.”

문건에 따르면 공격자들이 침해를 위해 익스플로잇 한 건 마이크로소프트 셰어포인트(Microsoft Sharepoint)의 소프트웨어 프로그램인 것으로 보인다. 하지만 공격자들이 셰어포인트의 취약점을 표적으로 해 공격을 한 것인지, 누군가 취약점을 우연히 스캔해본 것인지는 확실하게 구분되어 언급되지 않고 있다. UN은 공격 배후의 후보조차 꼽지 못하고 있는 상태다.

3줄 요약
1. AP통신이 입수한 UN 내부 기밀 문서에 의하면 UN은 작년 여름 해킹됐다.
2. 그러나 피해 규모가 정확히 밝혀지지 않았으며, 배후 세력도 알 길이 없는 것으로 보임.
3. 마이크로소프트 셰어포인트의 취약점을 통한 공격이 유력해 보임.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)