Case
애슐리매디슨 해킹사건, 공격!!!②
2016 11 16
  • Facebook
  • Twitter
  • Copy URL

2015년 8월 17일 불륜을 조장하는 웹사이트 ‘애슐리매디슨’이 ‘임팩트팀’이라는 익명의 해커 그룹에게 해킹당해 9.7기가 정도의 회원정보가 온라인에 뿌려졌다. 이어서 20, 21일 이틀에 걸쳐 애슐리매디슨 사이트의 소스코드와 애플리케이션의 소스코드, CEO 노엘 비더만의 업무 메일을 포함한 20기가 정도의 정보가 더 올라왔다.[1]

미국시각 2015년 8월 17일, 자신들을 ‘임팩트팀’이라 불리는 익명의 해커그룹이 애슐리매디슨의 회원정보를 올렸다. 그 정보를 통해 유명인 조슈아 두갈(Josh Duggar)이 애슐리매디슨의 회원이라는 것과 공무원은 물론 정부의 IP로 애슐리매디슨에 접속했던 기록들이 나왔다. 20일, 또 하나의 파일이 올라왔지만 파일 일부분이 손상되어 열 수 없었고 다음날 21일, 추가로 자료가 올라오면서 총 20기가 정도의 자료가 네트워크를 통해 퍼졌다. 1차에서는 회원정보만 나왔다면 2차에서는 애슐리매디슨의 CEO 노엘 비더만의 업무 메일과 웹 페이지와 애플리케이션의 소스코드를 포함한 회원들의 개인정보였다. 회원들의 개인정보는 1차와 마찬가지로 이메일은 물론 신용카드 정보까지 포함되어 있었다.[2]

이미지를 불러오는데 실패했습니다.

정확히 그들이 해킹한 것은 애슐리매디슨의 모기업인 Avid Life Media (ALM)의 회원 데이터베이스였다. 사건의 경위는 밝혀지지 않았지만 가장 유력한 공격 시나리오는 Phishing과 XSS 공격을 통해 사용자 인증을 우회하여 사용자 세션에 접근하고 SQL Injection 공격을 통해 회원 정보가 담겨있는 데이터베이스에 접근했을 것으로 추측했다. 추가로 악성코드를 사용해 컴퓨터를 감염시켜 원격으로 SQL dump 즉, 사용자 정보를 가져왔을 것으로 보고 있다.[3]

XSS(cross-site scripting)와 CSRF(cross-site request forgery)은 이번 공격에 사용되었을 것으로 추측되는 공격으로 보통 웹사이트에 악의적인 코드를 집어넣는데 사용된다. 이를 통해 관리자의 계정 혹은 비밀번호를 획득하거나 비밀번호 없이 사용자 계정을 탈취할 수 있다. 보통 이 공격은 웹사이트를 개발할 때 보안을 고려하지 않은 코딩을 했거나 혹은 아주 오래된 웹 애플리케이션이 사용되는 곳에서 이뤄진다. 실제로 애슐리매디슨 사이트에서는 XSS/CSRF 취약점을 쉽게 찾을 수 있었다고 한다.[4]

이미지를 불러오는데 실패했습니다.

웹 사이트를 해킹할 때 주로 사용되는 공격 또 하나가 SQL injection이다. 많은 보안 전문가들은 이번 해킹에서 SQL injection을 사용했을 것으로 추측했다. 데이터베이스 언어인 SQL 명령을 사이트에서 사용되는 애플리케이션에 강제로 입력하여 데이터베이스 내에 있는 값을 받는 것이다. 즉, 애슐리매디슨 사이트에서 작동되고 있는 애플리케이션의 취약점을 통해 회원 자료에 권한 없이 접근했을 것으로 본다.[5] 추가로 네트워크에서 악성코드를 사용했다는 추측도 있다. 메일을 이용하여 악성코드로 컴퓨터를 감염시키고 원격으로 코드를 실행하여 데이터베이스 자료를 가져왔을 것으로 추측한다.[6]

이미지를 불러오는데 실패했습니다.

이렇게 ‘추측’만 하는 이유는 그들이 남기고 간 흔적이 없다는 것이다.[7] 보통 컴퓨터에서 작업하게 되면 그에 대한 흔적이 남는데 이를 풋프린트라고 한다. 하지만 이번 사건에서는 임팩트팀의 풋프린트가 하나도 나오지 않았ㅉ다. CECURA의 보안책임자 조엘 에릭슨(Joel Eriksson)역시 이 같은 공격으로 이뤄졌다고 확신하기 어렵다고 말했다.[8] 그는 이번 해킹에서 아무런 흔적이 없어 어떤 애플리케이션의 취약점을 통해 들어왔는지 정확히 알 수가 없다고 말했다. 더욱이 임팩트팀이 말하길 자신들이 공격할 때 흔적을 남기지 않도록 충분한 노력을 가했다고 한다.[9] 그들은 처음부터 회원정보를 .txt파일로 만들어 추적을 피할 수 있는 토르 서버를 이용해 배포하였고 그 과정에서 그들은 실수조차 없었다.[10] 그들은 어떠한 흔적도 없었고 재판에서 사용될 만한 어떠한 증거도 남기지 않았다.

이미지를 불러오는데 실패했습니다.

임팩트팀이 유일하게 남긴 흔적은 마더보드(언론매체)를 통해 남긴 짧은 대화였다.[11] 그들은 이러한 해킹 경험이 많은 해커들로 이번 해킹을 통해 공개한 자료 이외에도 300GB의 직원 이메일과 수 만 명의 회원 사진, 메시지를 가지고 있다고 답했다. 그들이 말하길 애슐리매디슨의 보안은 형편없었고 ‘pass1234’로 모든 서버에 접근할 수 있을 정도로 보안에 아무런 관심이 없었다고 말했다. 그들이 이 같은 일을 벌인 이유는 애슐리매디슨의 납득이 안되는 슬로건과 양아치 같은 운영시스템 때문이라고 말했다. 더불어 회원들을 봉으로 삼으면서 기업은 계속해서 커졌고 이를 아무도 제지하지 않아 자신들이 움직였다고 말했다. 그들은 애슐리매디슨 사이트뿐만 아니라 타인의 고통은 신경 쓰지 않고 이익만 바라보는 회사, 부패한 정치인들이야말로 자신들이 해킹할 대상이 될 수 있다고 언급했다.

이전거보기_애슐리매디슨 해킹사건, 공격!!!①

유성경 yuopboy@grayhash.com