세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
에퀴팩스 공격한 자들, 9천 번이나 비승인 쿼리 보냈다
  |  입력 : 2018-09-12 10:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에퀴팩스 사건 1년 후 새로 나온 보고서...에퀴팩스 보안 상태 엉망이었다
미국 국민 대다수가 피해를 입었지만, 에퀴팩스에는 실제적인 변화 없어


[보안뉴스 문가용 기자] 2017년 일어난 대규모 정보 유출 사고인 에퀴팩스(Equifax) 사건은, 실제 공격으로부터 탐지까지 76일 걸렸다. 공격이 굉장히 은밀해서였을까? 아니다. 최근 미국 회계 감사원(GAO)의 조사 발표에 의하면 공격자들은 에퀴팩스 데이터베이스로 약 9000개의 비승인 쿼리들을 진행했다고 한다.

[이미지 = iclickart]


작년 5월 중순, 공격자들은 에퀴팩스 시스템에 접근하기 위해 아파치 스트러츠(Apache Struts)의 알려진 취약점을 익스플로잇 했다. 에퀴팩스의 발표에 의하면 이 공격으로 약 1억 4천 5백만 명의 고객들이 영향을 받았는데, 대부분 미국 시민들이었다. 일부 캐나다와 영국의 시민들도 포함됐다. 이들 모두 사회보장번호, 생년월일, 이메일 주소, 집 주소, 운전 면허 번호, 지불카드 정보, 분쟁 문건 등의 정보가 새나가는 피해를 겪어야만 했다.

그리고 이 사건이 미국 사회와 보안 커뮤니티를 발칵 뒤집어놓은 지 1년여 만에 미국 회계 감사원이 새로운 보고서를 발표했다. 이 보고서에 의하면 공격자들은 아파치 스트러츠라는 취약점이 세상에 공개되고 며칠 지나지 않아, 에퀴팩스의 시스템을 스캔해 아파치 스트러츠 취약점을 검색하기 시작했다고 한다.

이 과정에서 영향을 받은 시스템이 있는데 바로 온라인 분쟁 포털이었다. 공격자들은 시스템 수준의 명령을 실행할 수 있게 되었다. 여기서부터 공격자들은 수많은 데이터베이스에 쿼리를 전송해 개인 식별 정보를 찾아낼 수 있었다고 한다. 이런 비승인 쿼리가 수천 개씩 발생함에도 에퀴팩스의 보안 시스템은 아무런 반응을 하지 않았다. 물론 그 전에 스트러츠 취약점도 찾아내지 못했고 말이다.

게다가 몇몇 쿼리에 대해서는 데이터베이스가 반응을 해서 개인 식별 정보를 되돌려주기까지 했다. 이 시끄러웠던 공격은 에퀴팩스의 보안 팀이 정기 점검을 할 때에서야 비로소 드러났다. 회계 감사원의 보고서에는 다음과 같은 표현이 있다. “네트워크 관리자가 정기 점검을 하다가 잘못 설정된 장비 하나를 발견했고, 이를 추적하다가 공격자가 침해된 서버와 통신하면서 데이터를 훔쳐내고 있다는 걸 알아냈습니다. 잘못된 설정이 암호화된 트래픽이 네트워크를 통과할 수 있도록 한 것입니다.”

여기서 말하는 잘못된 설정이란, 디지털 인증서를 말한다. 침해 사고가 발생하기 10개월 전에 만료된 인증서가 사용되고 있었던 것으로, 이 때문에 공격자들은 명령을 암호화된 통신을 통해 명령을 실행하고 데이터를 빼돌릴 수 있었던 것이다. 게다가 회계 감사원에 의하면 에퀴팩스는 망분리도 제대로 하지 않고 있었다. 그러니 공격자가 잘못된 장비 하나를 통해 들어와 수많은 데이터베이스에 접근할 수 있었던 것이다.

문제는 이것만이 아니었다. 회계 감사원이 조사한 바에 따르면 이렇게 많은 데이터베이스에 접근 가능하게 해주는 크리덴셜들이 암호화되지 않은 채 한 데이터베이스에 저장되어 있었다고 한다. 그리고 마침 공격자들이 이 데이터베이스에 접근하는 데 성공했다.

회계 감사원은 9천여 개의 비승인 쿼리들이 탐지 없이 발생했다는 건 데이터베이스 요청에 제한이 설정되어 있지 않았다는 걸 뜻한다고 지적한다. 정상적인 상황에서는 쿼리가 9천 번이나 실행될 일이 거의 존재하지 않는다고 덧붙이기도 했다.

회계 감사원의 보고서가 나온 후 많은 단체들이 사실상 에퀴팩스에 대한 조치가 아무 것도 취해지지 않았다는 것을 언급하며 목소리를 높이기 시작했다. 미국 소비자동맹(Consumers Union)은 이렇게 큰 사건이 일어났으면서도 그 전과 후가 크게 달라지지 않았다고 비판했다.

“아직도 신용 조사 및 평가 산업에 대해서 제대로 알려진 것이 없습니다. 더 심각한 것은 개인이 자기 정보가 사용되고 관리되는 방식에 대해 어떻게 손쓸 방법이 없다는 겁니다. 거의 모든 국민의 정보가 유출된 사건을 일으키고도 에퀴팩스는 아무런 피해를 입지 않다시피 했고, 이전과 똑같이 사업을 진행하고 있습니다. 정부와 유관기관, 보안 업계도 큰 문제를 제기하지 않고 있고요.”

이번 보고서를 의뢰한 사람 중 하나인 엘리자베스 워런(Elizabeth Warren) 상원 의원은 “에퀴팩스 및 여러 신용 평가 기관들은 국민 대다수의 개인정보를 지키는 데 크게 실패했던 모델을 그대로 유지하며, 여전히 수익을 올리고 있다”며 “왜 정부가 아무런 일도 하지 않는 것인지 묻고 싶다”고 발표했다.

3줄 요약
1. 2017년을 떠들썩하게 만들었던 에퀴팩스 사건, 후속 조치는 조용하기만.
2. 에퀴팩스 : 비정상 쿼리가 9천 번 있어도 탐지 못해, 10개월 전 만료된 인증서 사용해, 망분리도 하지 않아.
3. 1억 명 넘는 소비자 피해 입었지만 에퀴팩스는 별 다른 피해 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)