Home > 전체기사
드롭박스, 2012년 해킹 사건으로 6천 8백만 건 정보 유출
  |  입력 : 2016-09-01 14:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호만으로는 충분치 않은 것 시사... 사용자 스스로 계정 지켜야
드롭박스, 4년 동안 무엇했나? 행적 파악하는 것도 중요


[보안뉴스 문가용] 2012년에 일어났던 드롭박스(Dropbox) 정보 유출 사건으로 적어도 6천 8백만 건의 이메일 주소와 암호가 흘러나간 것으로 밝혀졌다. 다만 유출된 암호가 암호화되어 있는데다가 소금까지 뿌려져서(salt 처리 됨 : 기존 암호장치 위에 덧입히는 추가적인 암호장치) 다른 유출 사건들과 비교했을 때 덜 치명적이긴 하다.

▲ 미안, 아직도 들여다보고 있긴 하지만 사실 4년이나 지난 사건이야.


드롭박스는 지난 주, 2012년 이전에 드롭박스에 가입한 사용자들 중 그 동안 암호를 한 번도 바꾸지 않은 사람들이라면 다음 로그인 때 암호를 바꾸라고 권고하는 이메일을 발송했다. 또한 드롭박스 로그인에 사용하는 암호를 다른 웹 서비스에서도 사용하고 있다면 서로 다른 암호를 사용할 것과, 드롭박스의 이중 인증 옵션을 활용할 것을 권장하기도 했다.

드롭박스는 당시 이런 이메일을 발송하는 것이 이전보다 보안성을 강화하기 위한 예방적 조치의 일환이지, 사고가 나서 뒷수습하는 건 아니라고 설명했다. “드롭박스의 보안 팀은 항상 새로이 등장하는 위협거리에 주목하고 있습니다.” 그리고 그런 ‘예방적 조치’를 강화하려는 노력 중에 2012년에 불법적인 방법으로 누군가 빼돌린 드롭박스 사용자 이메일 주소와 암호가 일부 유출되었다는 걸 발견했다.

즉, 드롭박스의 주장에 따르면, 보안을 강화하려고 여러 가지 준비를 해왔고, 그 중 하나가 사용자들에게 암호 관리에 관한 권고 이메일을 발송하는 것이었으며, 하필 그러던 와중에 2012년에 일어난 사고의 흔적을 발견하게 되어, 어차피 계획하고 있었던 사용자 이메일에 해당 내용을 포함시켰다는 것이다.

해외 매체인 머더보드(Motherboard)와의 인터뷰에서 드롭박스의 보안 책임자인 패트릭 하임(Patrick Heim)은 “드롭박스의 암호 모니터링 및 관리 기술 덕분에, 유출된 암호를 가지고도 사용자 계정에 불법적으로 접근하는 일은 일어나지 않았을 것이라고 본다”라고 설명했다. 또한 “2012년 이전의 암호로는 사용자 계정에 접근하지 못하도록 이미 기술적인 조치를 취해놓았다”고도 밝혔다. 유출된 정보를 직접 분석한 머더보드는 “암호의 절반 정도는 bcrypt로 해시되어 있었고, 나머지는 SHA-1로 보호받고 있었다”고 보도했다.

처음 드롭박스가 2012년에 일어난 보안 사고에 대해 보고했을 때 “누군가 암호를 훔쳐 엉뚱한 사람의 계정으로 접근했고, 이 계정에는 사용자 이메일 주소가 다수 저장된 문서가 들어 있었다”고 밝혔다. 게다가 처음에는 ‘적은 수의 이메일 주소만 그런 식으로 유출됐다’고 말했다. 그것이 이번 주 갑자기 6천 8백만 건으로 불어난 것이다.

이런 일은 보안 업계에서 흔히 일어난다. 사건의 규모를 축소하거나 은폐하려는 기업의 좋지 않은 의도가 작용하는 것도 일부 있을 수 있겠으나, 사이버 보안 사고라는 게 정확한 규모를 확인하기 매우 어렵다는 특성을 가지고 있기 때문이다. 사실상 관련 기업이나 기관의 ‘피해가 많지 않으니 안심하십시오’라고 하는 초반 메시지는 안 믿는 편이 낫다는 것.

“온라인 서비스의 계정을 노리는 일이 빈번해지고 있죠. 그렇지만 서비스 제공자들은 정확한 사고 규모도 초반에 파악하지 못하는 수준입니다. 즉, 아직은 사용자 스스로가 자기를 지켜야 한다는 겁니다. 그리고 그 방법이란, 현재까지는 암호를 철저히 관리하는 것이죠. 주기적으로 바꿔주고, 어렵게 세팅하고, 되도록 다중 인증을 사용하는 거요.” 보안 컨설팅 업체인 애스텍(AsTech)의 수석 보안 아키텍트인 네이선 웬즐러(Nathan Wenzler)의 설명이다. “보안이 엄격한 기업들일수록 임직원의 암호 관리 실정을 철저하게 파악하고 또 엄격하게 모니터링 하는 이유가 있습니다.”

모바일 아이텐티티 보안 전문 업체인 텔레사인(TeleSign)의 부회장인 라이언 디스라엘리(Ryan Disraeli)는 “업게 전체가 이 사건으로 얻어가야 할 교훈은 ‘암호 하나만으로는 충분히 안전하지 않다’는 것”이라고 짚는다. “드롭박스는 결코 보안이 허술한 회사가 아닙니다. 오히려 굉장히 훌륭한 편에 속했죠. 암호화와 암호 관리, 이중 인증 시스템을 모두 제공하는 몇 안 되는 ‘보안 개념 훌륭한’ 회사였습니다. 하지만 결국 암호 하나만 사용하는 사용자를 통해 치명적인 정보가 유출되었죠.”

그러나 일각에선 드롭박스가 과연 보안이 훌륭한 회사였는가 하는 의심의 목소리도 일고 있다. 2012년이라면 이미 4년이 지난 사건이기 때문이다. 지능형 위협 탐지 전문업체인 아칼비오(Acalvio)의 크리스 로버츠(Chris Roberts)는 “2012년 사건이 이제야 드러났다는 것 자체가 심각한 문제”라고 일갈한다.

“결국 누군가 정보를 온라인에 유출되어 모든 사람이 ‘드롭박스가 해킹당했다’는 걸 알게 될 때까지 드롭박스가 한 일이라고는 고작 사건 규모를 파악하는 것이었습니다. 누가 해킹을 했는지, 어떻게 해킹이 이뤄졌는지, 어떤 피해가 발생했는지를 파악하는 것도 중요하지만 드롭박스가 2012년 사건으로부터 4년 동안 물밑에서건 표면에서건 무슨 일을 했는지, 왜 그랬는지를 파악하는 것도 중요하다고 봅니다. 클라우드 시대가 막 시작되는 때, 리더 중 하나라는 기업의 행태가 잘못된 선례로 남을 수 있으니까요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상