IT 업체를 무너뜨린 악명높은 해킹 사례 20선

원문 : http://www.itworld.co.kr/slideshow/86870

IT 보안 업체와 소프트웨어 제공업체들은 소스코드나 고객 정보를 탈취하고 보안 제품 및 서비스에 직접 공격을 가하고자 하는, 혹은 그저 자신들의 힘을 과시하고 싶어하는 해커들의 주요 표적이 되어왔다. 지난 10년 간 IT업체들을 농락해 온 가장 악명높은 해킹 사례들을 소개한다.

---

MS 윈도우 2000 소스코드, 온라인 공개

2004년, 한 해커가 마이크로소프트(Microsoft)의 기업 네트워크에 침투해 윈도우 2000의 소스코드(6억 바이트 가량의 데이터)를 빼내는데 성공했다. 이후 코드는 온라인에 공개됐고, 마이크로소프트는 범인을 잡는데 실패했다.

---

룰즈섹, 해킹으로 HB게리 CEO 사퇴시키다 

2011년, 보안업체인 HB게리 페더럴(HBGary Federal)의 CEO 애론 바는 자신의 이메일이 해킹되어 계정에 저장되어 있던 5만 건의 내부 비즈니스 메시지가 온라인에 포스팅된 것을 발견했다. 그리고 이 사고로 바는 CEO 직에서 물러났다. 얼마 뒤 룰즈섹(LulzSec) 그룹 소속의 해커들은 자신들이 HB 게리 페더럴의 취약한 비밀번호와 서버를 얼마나 쉽게 침투했는지를 설명하는 성명을 발표하며 범행에 당당한 태도를 보였지만, 결국 체포되고 만다. 해킹 가담자 가운데 한 명인 제이크 데이비스는 런던 법원에서 범죄 과정 전반을 자백했다.

---

네트워크 침입 당한 RSA, 시큐ID 토큰 교체

3년 전 RSA의 아트 코비엘로(Art Coviello) 회장은 RSA의 네트워크가 자사의 시큐ID 토큰(SecurID tokens)과 관련한 정보를 가진 공격자들에 의해 손상을 입었음을 밝혀냈다. 이 침투 사고는 이후 발생한 록히드 마틴(Lockheed Martin)에 대한 사이버 공격에도 영향을 미친다. 사고 이후 RSA는 4,000 대의 시큐ID 토큰을 교체해야 했다. 공격 주체는 '국가', 아마도 중국 측인 것으로 추정되고 있다.

---

보안업체 비트9, 자사 제품을 쓰지 않아 코드 서명 인증서 탈취당하다

보안 업체인 비트9(Bit9)은 지난해 해커 집단이 자사의 코드-서명 인증서를 탈취하는 네트워크 유출 사고가 있었음을 인정했다. 해커들의 목표는 악성코드 신호 전달에 이용되는 이 인증서를 탈취해 비트9의 고객 기업 세 곳의 시스템에 악성코드를 침투시키는데 있었다. 비트9의 실수는 네트워크 상의 컴퓨터들을 보호하는 자사의 화이트리스팅(whitelisting) 보안 제품을 정작 자사에는 적용하지 않은데 있었다. 따라서 비트9은 '운영 태만'의 모든 책임을 떠안아야 했다.

---

시만텍 구형 제품군 소스코드 온라인 공개 

2012년, 구형 시만텍(Symantec) 기업 보안제품인 시만텍 엔드포인트 프로텍션 11.0(Endpoint Protection 11.0) 및 안티바이러스 10.2(AntiVirus 10.2), 그리고 구형 pc애니웨어(pcAnywhere) 및 노튼 인터넷 시큐리티(Norton Internet Security) 버전에 적용된 소스코드가 온라인에 공개됐다. 공격 주체는 야마 터프(Yama Tough)를 리더로 하는 인도 뭄바이 기반의 해커 집단 로드 오브 다르마라자(Lords of Dharmaraja)였다. 로드 오브 다르마라자의 발표에 따르면, 코드의 획득 경로는 시만텍 본사가 아닌 인도군과 관련된 외부 집단이었다. 이후 시만텍은 소스코드 유출이 사실임을 인정하고 해커들이 이 소스코드를 온라인에 공개하기 전에 침묵의 대가로 5만 달러의 합의금을 요구해온 바 있다고 발표했다. 이에 앞서 시만텍은 2006년에도 서버 유출 사고를 인정한 바 있다.

---

구글, 수 개월간의 '오로라 공격'으로 자산 유출 

2010년 1월, 구글(Google)은 일명 '오로라 공격(Aurora attacks)'이라는 수 개월에 걸친 네트워크 침입으로 자사의 주요 지적 자산이 유출됐다고 발표했다. 발표 과정에서 구글 측은 공격의 진원지가 중국임을 넌지시 암시하기도 했다. 구글 이외에 다른 몇몇 기업들도 유사한 방식으로 공격 당했지만, 중국 정부는 금시초문이라는 입장만을 반복했다.

---

시스코, 컨퍼런스 앞서 참석자 목록을 해킹 당하다

2010년 시스코(Cisco)는 난처한 상황에 빠지게 된다. 기업의 가장 중요한 연례 행사인 시스코 라이브 사용자 컨퍼런스(Cisco Live users' conference)를 앞두고 참석자 목록이 해킹 당해, 자사의 새로운 성과들을 소개하기에 앞서 고객과 협력업체들에게 보안 유출 소식을 알려야 했던 것이다. 시스코는 사고 경위에 대해 입을 다물었지만, 애널리스트들은 행사 공식 사이트인 시스코라이브2010 닷컴(ciscolive2010.com)을 통한 참석자 정보로 접근 시도가 있었던 것으로 추정했다. 

시스코 측은 이 문제가 빠른 시일에 해결됐다고 발표했지만, 이 빠른 시일이라는 것은 이미 컨퍼런스 참석자 목록에 대한 접근이 이뤄진 이후였다. 유출된 정보에는 배지 번호, 성명, 직함, 기업 주소, 이메일 계정이 포함되어 있었다. 사고 이후 시스코는 참석자와 초대됐지만 참석하지 않은 고객 모두에게 이메일 사과 성명을 발송했다.

---

페이스북, 직원 계정 통해 소스코드 탈취 시도 

2011년 잉글랜드 요크 대학의 글렌 맹험(Glenn Mangham)이라는 학생은 직원 계정을 통해 페이스북(Facebook)의 네트워크에 침입해 소스코드를 탈취하는 시도를 벌였다. 이후 페이스북 측으로부터 기소 당한 맹험은 코드의 취약점 분석을 위해 네트워크를 침입한 것이라 주장하며 "허락보단 양해를 구하고 싶다"며 선처를 호소했지만, 결국 실형을 받았다.

---

야후, 디지털 서명에 이용되는 개인 키 유출 

2012년 야후는 의도치 않게 자신들의 새로운 구글 크롬(Chrome)용 검색 및 브라우징 확장 프로그램 액시스(Axis)의 디지털 서명에 이용되는 개인 키를 유출하게 된다. 패키지에 확장 개인 비밀 키가 포함되어 있음을 발견한 인물은 보안 블로거 닉 큐브리로빅이다. 이와 관련해 큐브리로빅은 블로그에 "이것이 악의를 가진 공격자의 손에 넘어갈 경우 공격자가 만든 가짜 확장 프로그램을 야후의 것으로 속여 크롬의 인증을 통과할 수 있다"고 밝혔다. 이 문제로 인해 야후는 새로운 액시스 버전을 배포해야 했다. 또 다른 사례로, 야후는 자칭 D33Ds라는 집단에 의해 기고자 네트워크(Contributor Network)의 사용자 이름과 암호화되지 않은 비밀번호 45만여 건을 탈취당한 적도 있다.

---

어도비, 소스코드 및 개인 정보 유출 

2012년, 어도비는 이집트의 해커 바이러스_힘A(Virus_HimA)에 의해 사용자 이름과 이메일 계정, 암호화된 비밀번호가 유출됐고, 그 가운데 230건이 페이스트빈(Pastebin)에 공개돼 조사를 진행 중이라는 발표를 내놨다. 

그리고 지난해에는 또 다른 사이버 공격으로 3,800만 건의 사용자 계정 및 암호화된 비밀번호가 유출됐으며, 일부 계정의 경우에는 신용카드 시스템의 암호가 해독되는 사고가 발생했다. 조사에 따르면 공격자들은 어도비 소유의 내부 시스템을 이용해 암호를 해독한 것으로 확인됐다. 어도비 어크로뱃(Acrobat), 리더(Reader), 콜드퓨전(ColdFusion)의 소스코드 역시 유출된 이력이 있다.

---

SSL 디지털 인증서 유출, 일부 공급업체 파산

2011년 코모도(Comodo), 디지노터(DigiNotar), 글로벌사인(GlobalSign) 등 주요 SSL 디지털 인증서 공급업체들의 유출 사고가 시장을 뜨겁게 달궜다. 일부 공급업체들은 사건의 범인으로 자칭'코모도해커(Comodohacker)'라 말하는 이란 출신의 21세 학생을 지목했다. 

유출된 인증서를 이용해 공격자는 사용자들의 브라우저가 자신을 구글로 인식하도록 해 사용자의 지메일 계정 로그인 정보를 엿볼 수 있었다. 네덜란드 기반의 바스코 시큐리티 시스템즈(Vasco Security Systems)에 소속된 디지노터의 경우에는 해킹 이후 네덜란드 정부에서 자사 인증서 사용을 금지하는 등 비즈니스에 큰 타격을 입고 결국 파산에 이르기도 했다.

---

침입 사실을 감지한 에버노트, 5,000만 사용자에게 비밀번호 변경 요청 

2013년 비즈니스 및 소비자 생산성 소프트웨어 제작업체인 에버노트(Evernote)는 자사의 시스템에 해커가 침입한 사실을 감지하고 5,000만의 사용자들에게 비밀번호 변경을 요청했다. 공격자의 접근이 이뤄진 영역은 사용자의 이름과 이메일 계정, 암호화된 비밀번호 등이었다. 사용자들이 저장한 콘텐츠나 지불 정보에 대한 접근은 확인되지 않았다고 에버노트 측은 발표했다.

---

일본 웹포털 사이트 2곳 해킹 

2013년, 일본의 주요 웹 포털 두 곳이 해킹 피해를 입었다. 피해 대상 가운데 한 곳인 네트워크 운영자 NTT 소유 포털 구(Goo)의 경우에는 유출된 계정 규모가 10만 건에 이르는 것으로 발표되기도 했다. 이들이 사고에 대해 할 수 있는 유일한 방법은 불법 로그인 방지를 위해 이 10만 개의 계정을 잠그는 것이었다. 

이와 별도로 야후 재팬(Yahoo Japan)은 기업 서버 상에서 악성 프로그램을 발견했고 이것이 127만 사용자의 데이터를 추출한 것을 확인했지만, 다행히 그것이 외부로 유출되기 전 차단 조치를 시행해 피해는 발생하지 않았다.

---

네임 닷컴, 서버 보안사고로 고객에게 비밀번호 재설정 요청

도메인 등록자 네임 닷컴(Name.com)은 자사의 서버에 보안 사고가 발생했고 그 결과 사용자 이름과 이메일 계정, 암호화된 비밀번호, 암호화된 신용카드 정보 등의 고객 정보가 유출됐을 가능성이 있다고 발표하며, 고객들에게 비밀번호 재설정을 요청해야 했다.

---

NSA의 최고 기밀 정보를 유출한 부즈 앨런 헤밀튼의 직원 애드워드 스노든 

정부의 계약업체 부즈 앨런 헤밀튼(Booz Allen Hamilton)은 국가 안보국(NSA)에 보안 지원을 제공하는 프로젝트에 참여했다. 그런데 지난 6월, 이들이 고용한 직원 가운데 한 명인 에드워드 스노든이 NSA의 최고 기밀 정보를 언론에 유출하며 전 세계를 발칵 뒤집어 놨다.

---

애플 개발자 센터, 사용자 개인 정보 유출로 일주일간 폐쇄 

2013년 애플은 자사의 개발자 웹사이트에 침입이 발생해 개발자 센터(Developer Center)에 등록된 사용자 개인 정보가 다운로드되는 사고가 발생했다고 발표하며 보안 설정을 변경하는 일주일 간 사이트를 폐쇄한 바 있다. 

개인 보안 연구가 이브라함 발릭은 본인이 약 10만 개의 애플 개발자 센터 계정에 대한 접근권을 확보했다고 주장하고 "이것은 절대 해킹 공격이 아니다. 나는 모든 버그를 애플에 보고했으며, 나는 해커가 아닌, 보안 연구자"라고 주장하며 애플의 보안 수준을 지적했다.

---

OVH, 한 해커가 내부 네트워크를 자유롭게 접근

2013년 프랑스의 웹 호스팅 업체 OVH는 한 해커가 자신들의 유럽 고객 데이터베이스에 침입하고 캐나다의 설치 서버 한 곳에 접근했다고 발표했다. 공격자는 가장 먼저 시스템 운영자의 이메일 계정에 접근해 다른 직원들의 VPN 인증서에 대한 접근권을 확보했고, 이후 자유롭게 내부 네트워크를 확보한 것으로 알려졌다.