아크로니스 창업자 스타스 프로타소브 "데이터 자체가 신원 확인 서비스 도용에 한계"
'차이나댄’(ChinaDan)이라는 활동명을 쓰는 한 해커는 지난주 한 온라인 사이버범죄 포럼에 중국인 10억명의 정보를 해킹했다고 주장하고 나서 파장을 일으켰다. 이 해커는 데이터의 출처를 상하이 경찰이라고 밝히며 취득한 정보를 10비트코인(약 20만 달러)에 넘기겠다는 제안을 하고 있다.(hackers claiming theft of police info in China’s largest data leak)
그가 상하이 경찰에서 빼돌렸다고 주장하는 정보의 규모는 24TB(테라바이트)에 달한다. 여기엔 중국인 10억명에 대한 정보와 각종 사건 관계자의 이름, 출생지, 주민번호, 휴대전화 번호 등이 있다고 해커는 주장하고 있다. 이같은 주장이 사실일 경우, 이는 중국 역사상 최악의 정보 유출 사고로 기록될 것으로 전망된다.
현재 이 정보는 다크웹에서 거래되는 중이나 아직은 판매자 측의 일방적인 주장으로 판매되고 있는 DB의 진위 여부는 아직 다 조사되지 않았다.
이러한 때에 통합 사이버 보호 선두기업인 아크로니스(Acronis)의 공동 설립자이자 기술 총괄 사장인 스타스 프로타소브(Stas Protassov)는 이번 사건에 대해 의견을 내놓았다.
-포럼에서 어떤 종류의 데이터가 판매되고 있습니까?
"사이버 범죄자들은 24TB의 개인 정보가 포함된 데이터베이스의 전체 덤프를 제공했으며 요청 가격은 현재 약 20만 달러인 10비트코인이다. 샘플에는 3가지 유형의 데이터가 있다. 개인 정보 파일, 전화 번호와 함께 통화 위치 데이터(또는 소유자 주소), 장소 및 짧은 사건 설명이 포함된 경찰 사건 또는 형사 사건 정보 등이다.
형사 사건 정보로 알려진 대부분은 "기관이 중재할 분쟁이다, 수도계량기를 도난 당했다, 경찰이 기록을 남겼다, 경찰에 신고한 사람이 차를 몰다가 실수로 차량 왼쪽을 긁었다" 등으로 경미한 사건이다. 불행히도 이러한 기록은 관련된 사람들을 언급하므로 정보가 유출된 사람들 중 일부에게 피해를 줄 수 있다."
- 중국에 고객·사업장을 두고 있는 조직은 데이터 유출로 인한 잠재적인 공격으로부터 어떻게 보호할 수 있습니까?
"이 정보는 스피어 피싱과 같은 향후에 발생할 공격에 사용될 수 있다. 예를 들어 개인 정보를 도용해 범죄를 저지르거나 피해자 이름으로 사기를 저지르는 데 사용될 수 있다. 조직과 개인은 근시일 내에 발생할 수 있는 악성 이메일이나 문자 메시지를 지속적으로 점검하여 경계하고 사기 행위를 모니터링해야 한다."
- 소셜 미디어 플랫폼과 같은 서비스를 사용할 때 합법적인 개인 식별 정보를 요구하고 있는데, 이번 유출이 중국에서 영향을 미칠 가능성이 있습니까?
"데이터 자체가 신원 확인을 통한 서비스에 도용되기에는 충분하지 않기 떄문에 피해가 발생할 여지는 거의 없지만, 개인정보 유출로 인한 침해 사고가 발생한다면 이후 전화 번호를 교환하거나 신원을 도용하는 사기 활동으로 이어져 소셜 미디어 플랫폼에서 사용자가 부정적인 점수를 받을 수 있다."
- 데이터 누출이 공무원/개발자가 실수로 CSDN(중국소프트웨어개발연맹)에 게시했기 때문인가요?
"실제로 액세스 자격 증명(크리덴셜)이 포함된 데이터가 중국 최대 IT 기술 커뮤니티인 ‘CSDN(중국소프트웨어개발연맹)’의 개발자 블로그 게시물로 있었다. 이것이 공격자의 진입점이었을 수 있다. 조직의 로그 파일에 액세스하지 않고 공격 벡터를 확인할 수는 없지만 가능성이 매우 높은 시나리오다."
ID 형식에 따라 오픈소스 검색시스템 '엘라스틱서치(ElasticSearch)' 덤프처럼 보인다고 자신 있게 말할 수 있다. 다시 말하지만, 유출된 자격 증명 때문인지 아니면 처음부터 잘못 구성되었는지는 확실하지 않다. 가장 일반적으로 이러한 종류의 누출은 누군가가 실수로 인터넷에서 사용할 수 있는 인증되지 않은 Elastic 인스턴스를 남길 때 발생한다."
-기타 의견
"불행히도 IT 인프라의 복잡성이 증가함에 따라 특히 대규모 클라우드 데이터베이스 및 데이터 버킷(data buckets)에서 접근 제어가 제대로 관리되지 않는 대규모 데이터 침해 사례가 점점 더 많이 발생하고 있다. 이 사건은 "역사상 가장 큰 데이터 유출"로 오랫동안 남아 있지 않을 것이다."
◇ 이번에 유출된 개인 정보
나이/ 생일/ BPLACE (출생지, 장소)/ EDEGREE(학력)/ ESCU (직업)/ 키/ HHPLACE(주거 주소)/ IDNO(정부 ID로 보인다)/ 아이디/ MARR(결혼 여부)/ NATION(국적)/ NPLACE(도시)/ 사진/ QUERY STRING(주소)/ 성별/[파이낸셜신문=임권택 기자 ]
