세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[10월 2주 뉴스쌈] 사이버 스토커 추적 중 VPN 업체 거짓말 들통
  |  입력 : 2017-10-14 18:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 스토킹, 고양이로 이웃집 컴퓨터를 해킹하는 방법,
에퀴팩스 추가 소식, 하얏트 호텔의 신용카드 정보 유출 등


[보안뉴스 오다인 기자] 사이버 스토킹이라고 하면 크게 위협적으로 느껴지진 않습니다. 온라인에서 쫓아다녀봤자 얼마나 위험하겠냐는 인식이 있기 때문일 것입니다. 그러나 이제 생각을 바꿔야 할 것 같습니다. 사이버 스토커들은 온라인으로 누군가의 삶을 좌지우지 할 수 있다는 점을 아주 잘 알고 있기 때문입니다.

10월 둘째 주 뉴스쌈은 사이버 스토킹에 대한 소식과 함께 키우는 고양이로 이웃집 컴퓨터를 해킹하는 방법, 에퀴팩스에 대한 추가 소식, 그리고 하얏트 호텔의 신용카드 정보 유출 소식 등을 종합했습니다. 차가운 바람에 건강 유의하십시오.

[이미지=iclickart]


지독한 사이버 스토킹과 VPN 업체의 ‘로그 비수집 정책’
미국 연방수사국(FBI)이 사이버 스토커를 체포하는 과정에서 유명 VPN 업체 퓨어VPN(PureVPN)의 ‘로그 비수집 정책(no logs policy)’이 거짓이라는 사실이 드러났습니다.

미국 메사추세츠주에 거주하는 24세 남성 라이언 린(Ryan Lin)은 같이 사는 사람들(하우스메이트)과 전 룸메이트들을 온라인에서 스토킹하고 괴롭힌 혐의로 기소됐습니다. 린은 스토킹하는 과정에서 토르, VPN, 텍스트프리(Textfree) 같은 서비스를 이용해 현지 경찰의 눈을 피해간 것으로 알려졌습니다.

이 사건에는 두 가지 흥미로운 측면이 있습니다. 하나는 사이버 스토킹이 너무나 지독해서 FBI가 체포해야만 했다는 점, 다른 하나는 고객 활동 정보를 전혀 수집하지 않는다던 VPN 업체의 ‘프라이버시 정책’이 사실은 거짓말이었다는 점입니다.

FBI는 퓨어VPN이 제공한 로그를 바탕으로 린을 추적하고 체포할 수 있었습니다. 그런데 퓨어VPN의 프라이버시 정책 첫 문장이 “퓨어VPN은 사용자 활동을 감시하지 않으며 그 어떠한 로그도 수집하지 않는다”였다고 합니다. 민망할 정도로 거짓말이 들통난 셈이죠. 퓨어VPN은 홍콩에 있는 업체로 전 세계 수십만 명이 퓨어VPN의 서비스를 이용하고 있습니다.

이를 보도한 해커뉴스는 VPN이 사용자의 인터넷 트래픽을 감춰줌으로써 익명성을 보장해준다고 주장하지만 사실상 보안이 그만큼 강력하게 보장되지 않는다는 점에서 VPN 서비스 이용을 다시 생각해봐야 한다고 지적했습니다. 또한, 퓨어VPN의 경우 로그 비수집 정책조차 새빨간 거짓말로 드러났죠.

다음으로, 사이버 스토커의 범죄 행각에 대해 말씀드리겠습니다. 린은 전 룸메이트였던 제니퍼 스미스(Jennifer Smith)를 1년 반 동안 사이버 스토킹 했습니다. 린은 스미스의 맥북이 잠금 해제된 틈을 노려 온라인 프로필 크리덴셜을 빼돌리고, 아이클라우드(iCould)와 구글드라이브 계정에서 사진 등 각종 개인 파일을 훔쳐냈습니다.

이후 린은 스미스의 개인정보를 온라인에 뿌리고 성적인 관계를 암시하는 사진들을 마치 스미스의 사진인 것처럼 올렸습니다. 가족, 친척, 동료 등 스미스의 연락처에 입력된 사람들에게 스미스의 사적인 정보를 이메일로 전송했습니다. 게다가 린은 스미스의 프로필을 수정해 “매춘, 페티시 등 성적인 경험에 헌신한다”고 올리기도 했으며, 스미스가 그 누구에게도 말한 적 없는 병력을 공개하기도 했습니다.

린의 사이버 스토킹은 여기서 끝나지 않았습니다. 스미스를 위장해 학교나 다른 사람들에게 “폭파시켜버리겠다”, “죽이겠다”, “강간하겠다” 등의 협박을 보내기도 했습니다. 이에 스미스의 친구 중 한 사람이 스미스의 집으로 경찰을 출동시켰다고 합니다.

미국 법무부는 린이 지난 10월 5일 수사당국에 의해 체포됐으며 최대 징역 5년에 감독조건부 석방(supervised release) 3년을 받을 수 있다고 말했습니다.

키우는 애완묘로 이웃집 해킹하기
3년 전 뉴스지만 흥미로운 사실을 발견해 간략히 소개드리려고 합니다. 키우는 고양이가 동네를 한 바퀴 돌고 오면, 그 동네 어느 집의 와이파이가 취약한지 알 수 있고 나아가 해킹까지 할 수 있다고 하네요. 역시 해커뉴스가 보도했습니다.

미국 컴퓨터 컨설팅 업체 테너시티(Tenacity)의 보안 연구자 진 브랜스필스(Gene Bransfield)가 창의력을 발휘해 증명한 사실입니다. 진짜로 이웃집을 해킹하기 위해서였다기보다 단순히 재미를 위해서 실험해본 결과라는데요.

브랜스필드는 와이파이 카드, GPS 모듈, 스파크 코어 칩(Spark Core chip), 배터리 등으로 직접 목줄을 만들어 아내의 할머니가 키우던 고양이 ‘코코’에게 걸었습니다. 코코는 3시간 동안 동네 탐방을 마치고 집으로 돌아왔는데, 이 탐방으로 23개의 고유한 와이파이 네트워크를 맵핑할 수 있었다고 합니다. 그 중 4개의 라우터는 오래된 버전으로, 암호화가 쉽게 뚫릴 수 있었으며 다른 4개는 완전히 보호되지 않은 채로 방치돼 있었다고 합니다.

에퀴팩스, 고객 서비스 페이지 폐쇄
이쯤 되니 연민의 감정이 느껴집니다. 한 달 넘게 에퀴팩스 기사를 쓰면서 1)미국 인구 절반이라는 피해자 수에 충격 받았다가 2)한국도 관련 피해가 있진 않을까 걱정 됐다가 3)에퀴팩스의 처참한 보안 수준과 침해 대응에 어처구니가 없었다가 4)그래서 화가 났다가 5)끝없이 발굴되는(?) 에퀴팩스 소식에 지겹기도 했는데 그 마지막 단계는 연민인가 봅니다.

에퀴팩스의 침해 대응 사이트인 고객 서비스(Customer Service) 페이지가 폐쇄됐습니다. 그 이유는 해당 페이지의 링크 하나가 악성 링크였다는 사실이 드러났기 때문입니다. 고객 신용정보 지원 링크를 클릭하면 가짜 플래시 업데이트가 진행됐다고 합니다. 이 사실을 발견한 보안 전문가 랜디 아브람스(Randy Abrams)는 해외 매체 아스테크니카(Ars Technica)에 영상을 제공하기도 했습니다.

이에 에퀴팩스가 또 다시 해킹에 당한 것이 아니냐는 논란이 커졌으나 에퀴팩스는 “웹사이트 활동 정보를 수집할 때 사용하는 서드파티 업체의 코드가 악성 콘텐츠를 담고 있었을 뿐, 시스템이 침해된 것은 아니다”고 해명했습니다. 또한, 사실 인지 후 해당 코드를 웹페이지에서 삭제했으며 추가 분석을 위해 웹페이지 역시 폐쇄했다고 밝혔습니다.

한편, 에퀴팩스의 영국 피해자가 1,250만 명으로 집계됐습니다. 에퀴팩스는 이 가운데 민감한 개인정보가 유출된 사람은 693,665명이라고 밝혔습니다.

하얏트 호텔의 신용카드 정보, 또 다시 해킹됐다
하얏트 호텔의 일부 지점에서 신용카드 정보가 또 다시 유출됐다는 소식입니다. 하얏트 호텔은 2년 전에도 신용카드 정보가 해킹된 적 있습니다. 이번 해킹은 3월 18일부터 7월 2일 사이에 벌어졌으며 전 세계 13개국 41개 하얏트 호텔에서 발생했다고 합니다. 이번에 침해된 지점에는 한국의 하얏트 호텔 3개도 포함됐습니다. 파크하얏트부산, 하얏트리젠시제주, 그랜드하얏트서울 등입니다.

하얏트 호텔은 성명서를 통해 “조사를 진행한 결과, 누군가 권한 없이 신용카드 정보에 접근할 수 있었던 것은 특정 서드파티 IT 시스템에 악성 소프트웨어 코드가 삽입돼 있었기 때문인 것으로 드러났다”고 설명했습니다. 이어 하얏트 호텔은 “이번 문제를 해결하기 위해 향상된 사이버 보안 조치를 포함해 추가적인 방어를 실행할 계획”이라며 “신용카드 결제 내역을 꼼꼼하게 살피고 승인되지 않은 결제 내역이 있을 시 즉시 카드 발행업체에 연락하라”고 덧붙였습니다.

하얏트 호텔은 2015년 이와 유사한 해킹 공격에 당해 전 세계 50개국의 250개 지점에 피해를 입은 바 있습니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)