Case
최대규모를 갈아치운 개인정보 유출사건, YAHOO
2016 11 02
  • Facebook
  • Twitter
  • Copy URL

현지시각 2016년 9월 22일, 야후는 2014년에 익명의 해커 그룹에게 성명, 이메일 주소, 전화번호, 생년월일, 해시화된 패스워드, 본인 인증 질문 등 약 5억만 개의 개인정보를 해킹당했다고 발표했다.[1]

 

이미지를 불러오는데 실패했습니다.

 

야후!(Yahoo!)는 대만계 미국인 제리 양(Jerry Yang)과 데이비드 파일로(David Filo)가 만든 포털 사이트로 여러 국가에서 서비스를 제공하고 있다. 특히, 야후는 최초로 검색 서비스 기능을 도입한 사이트로 디렉터리 검색 서비스를 기반으로 두고 있다. 본래 ‘구글링’단어처럼 ‘야후’단어가 쓰일 정도로 웹 서핑의 일인자였지만 2000년 구글이 나오면서 많이 위축됐다. 국내에서도 네이버와 다음 등 국내 포털사이트가 들어서면서 살아남으려 고군분투하였지만 결국 한국시장에서도 물러났다. 국내에서 야후는 철수했지만 검색 기능[2]은 여전히 남아있어 야후로 들어가면 자동으로 US 야후로 들어가진다. 계속된 적자를 내던 야후는 결국 2016년 7월 버라이즌 와이어리스가 야후 인터넷 사업부를 인수하였다. ‘야후’라는 명칭은 걸리버 여행기에 나오는 ‘야후’라는 동물에서 가져온 이름이다.

야후 해킹사건 발표는 2016년에 했지만 실상 일어난 것은 2014년에 일어났다. 특히나 2015년 8월부터 야후가 해킹당했다는 소문이 꾸준히 돌았다고 한다. 실제로 ‘peace’라는 해커가 야후 온라인 사용자 2억 명을 해킹했다고 주장하였고 이후, 야후에서 해킹당한 것으로 추정되는 개인정보를 1,800달러에 판매한다는 글[3]이 암거래 사이트에 올라왔다. 그리고 약 1년 후인 2016년 9월 22일, 해킹을 당한지 2년이 지난 후에서야 야후는 2014년에 해킹당했음을 발표했다.

이번 사건으로 사용자의 이름, 이메일 주소, 휴대폰 번호, 생년월일, 해시화된 비밀번호가 외부로 유출되었다. 야후에서는 비밀번호를 바꾸라는 메일을 사용자들에게 보냈고, 도난당한 암호는 해시화된 암호이므로 매우 위험한 상황은 아닐 것이라 말했다. 그렇지만 많은 이들이 암호만 아니라 유출된 개인정보로 허위 신용카드를 만들거나 은행 계좌를 만드는 것처럼 악의적으로 사용할 수 있다는 점에 주목했다. 또한, 보안 전문가들은 해시화된 암호도 짧은 길이의 암호는 유추할 가능성이 있어 꼭 변경하라는 메시지를 덧붙였다.[4]

야후 측에서는 국가가 개입한 해킹사건이라는 견해를 밝혔지만 그 어떤 증거도 외부로 보이지 않았고 단지 관련된 증거는 회사 내에 법무팀과 긴밀하게 얘기하고 있다고만 전했다. 버라이즌 와이어리스측에서는 이 사건에 대해 야후가 알아서 잘 처리할 것이라는 말을 남겨 이 사건을 어떻게 야후가 처리할지에 대해 관심이 쏠렸다. 더불어 이런 야후 해킹사건에 대해서 의심의 눈초리로 보며 문제를 제기하는 사람도 나타났다.

첫째로 사상 최대 규모의 해킹사고라는 것이다. 처음 2014년 해킹을 당했을 시에는 2억 명의 개인정보였지만 발표에서는 5억 명으로 늘어났고, 글로벌서비스를 제공했던 야후의 상황을 고려하면 당시 활성화되어있는 계정까지 더 많은 개인정보가 유출되었을 것으로 본다. 게다가 가트너의 설문조사를 따르면 다른 사이트와 같은 비밀번호를 사용하고 있다는 답변이 50%에 해당하여 피해규모는 더 클 것으로 예상한다.[5] 이는 어떤 개인정보 유출사건과 비교해도 어마어마한 규모의 해킹사고이며 분명히 이 해킹사건에 대해 적절한 조치가 필요할 것이다.[6]

둘째로 2년이 지나서 밝힌 해킹 사고라는 것이다.[7] 사건 발생 후 빠른 보도는 중요하다. 이유는 사용자가 패스워드를 변경하여 다른 개인 정보를 지키고 2차 피해를 막을 수 있기 때문이다. 그리고 해킹사건이 일어난 후 회사는 해킹당했다는 이야기를 고객에게 반드시 알려야 한다는 연방법이 존재한다. 더불어 해킹사고가 나면 발표가 늦어질수록 개인정보관리 미흡에 관한 벌금이 추가로 부과되고 고객에게 신뢰를 잃어 이미지가 안 좋아지기 마련이다. 이러한 점을 봤을 때 그들은 해킹사고가 난 즉시 분명하게 고객들에게 해킹사건에 대해서 발표를 해야 했지만 이들은 이에 관해 묵묵부답이다. 더군다나 해킹사고가 2014년이면 발표한 2016년 즉, 2년 동안 계속해서 해커가 정보를 빼갔을지도 모른다는 것이다. 이는 당시 상황으로 봐서 야후를 높은 매입가로 팔 수 있도록 이미지 관리상 숨기지 않았나 추측할 뿐이다. 몇몇 사람들은 이 같은 문제에 대해서 소송을 준비하고 있다고 한다.[8]

셋째로 야후 관계자가 말한 것처럼 진짜 국가가 개입되었는지 의문이라는 것이다. 그들은 발표할 당시 이번 해킹사고가 국가의 지원을 받는 해커의 소행이며 중국, 러시아, 북한 등을 배후 국가로 거론했다. 더불어 2015년 야후 측에서 해커의 공격을 염두에 두고 자신들의 보안 기술을 공개하지 않을 것이라고 미리 얘기하였다. 자신들은 정부지원의 해킹 즉, 높은 기술을 가지고 있는 해커의 해킹을 감지할 수 있는 프로토콜을 이미 소유하고 있으며 공격 시도가 감지되면 사용자들에게 알람이 갈 것이라고 답했다. 그런 것치고 지금 와서 해킹을 당했다고 얘기하는 것은 아이러니하다. 하지만 이것이 사실이라면 확인할 길이 없다. 왜냐하면 야후는 어떻게 공격을 당했는지에 대한 정보를 다른 이들에게 공개하는 것을 거부했기 때문이다. 만약 국가가 개입될 정도로 어려운 기술이 들어간 해킹사고였다면 공개적으로 수사를 의뢰하여 자신들이 한 말에 대한 근거가 될 수 있는 증거를 제시할 수 있지 않았을까 생각한다. 또 한가지로 몇몇 보안업체는 이런 야후의 말을 반대하며 국가의 개입이 아닌 범죄집단의 소행이라는 분석을 내놨다.[9]

넷째로 지겨운 국가개입 멘트라는 것이다. 대규모 개인정보 유출 사건에 대해서 비난을 피하는 가장 좋은 변명거리가 국가개입이라는 것이다. 왜냐면 정부의 지원을 받는 해커는 높은 기술력을 가지고 있다는 이미지가 강해 막기 어렵다는 인식이 있다. 앞서 얘기했듯이 야후 측에서는 해킹과 관련된 그 어떤 자료도 공개하지 않고 있다. 이 말은 야후가 사건 일부가 아닌 자신들이 피해자 코스프레를 한다는 것이다.[10]

마지막으로 국가개입은 진짜로 있었다는 것이다. 단지 미국 정부와 연관되어 이메일 주소를 검색할 수 있는 소프트웨어가 야후에 존재했다는 것이다. 즉, 국가의 지원을 받는 해커가 이를 통해 가져갔다는 것을 단정할 순 없지만 해킹사고에서 미국정부가 어느 정도 원인이 되어있을 수 있다는 것이다. 이 이메일 검색 소프트웨어는 국가 기밀 프로젝트인 프라임(PRIME)과 연관된 것으로 보인다. 프라임 프로젝트는 미국 정부에서 9.11테러 같은 테러나 위험인물을 가려내고자 비밀스럽게 진행한 시민의 개인 정보 수집 프로젝트다. 프라임에서 개인정보를 수집하는 방법의 하나가 기업에게 정보를 받는 것으로 이메일을 검색하는 소프트웨어도 이와 관련되어 사용된 것으로 추측한다.[11]

한때 신화를 달리던 야후가 이렇게 몰락하는 것은 야후의 보안 책임자의 잦은 변화가 영향을 끼친 걸 수도 있다. 또한, 자신들을 높은 매입가로 사줄 구매자를 찾는 것에만 너무 여념 하지 않았나 싶다. 여러모로 의심스러운 부분들이 드러나고 사건의 규모인 만큼 하루빨리 사건에 대해 진상이 드러나길 바랄 뿐이다.

이미지를 불러오는데 실패했습니다.

유성경 yuopboy@grayhash.com