|
지난 주, 한 해커가 중국인 10억명의 정보를 해킹했다고 주장하고 나섰다. 이 해커는 데이터의 출처를 상하이 경찰이라고 밝히며 취득한 정보를 10비트코인(약 20만 달러)에 넘기겠다는 제안을 하고 있다.
‘차이나댄’(ChinaDan)이라는 활동명을 쓰는 해커는 온라인 사이버범죄 포럼에서 자신의 해킹을 과시했다. 그가 상하이 경찰에서 빼돌렸다고 주장하는 정보량은 24TB(테라바이트)에 달한다. 중국인 10억명에 대한 정보와 각종 사건 관계자의 이름, 출생지, 주민번호, 휴대전화 번호 등이 있다는 게 해커 주장이다. 이것이 사실이라면 중국 역사상 최악의 정보 유출 사고로 기록될 전망이다
현재 이 정보는 다크웹에서 거래되고 있다. 아직은 판매자 측의 일방적인 주장으로, 매물로 나온 데이터베이스(DB)의 진위여부는 아직 확인되지는 않았다.
글로벌 보안업체 아크로니스(Acronis)의 공동 설립자이자 기술 총괄 사장인 스타스 프로타소브(Stas Protassov)는 해커가 빼돌린 중국인 개인정보는 △나이 △생일 △출생지, 장소 △학력 △직업 △키 △주거 주소 △IDNO (정부 ID로 추정)△아이디 △결혼여부 △국적 △도시 △사진 △주소 △성별 등이라고 밝혔다.
해커들은 약 20만 달러인 10비트코인을 요청하면서, 코인을 주면 24TB의 개인 정보가 포함된 데이터베이스 전체를 넘기겠다고 주장하고 있다고 했다.
프로타소브 사장은 해커가 제시한 샘플에는 3가지 유형의 데이터가 있다고 설명했다. △개인 정보 파일 △전화번호와 통화 위치 데이터(또는 소유자 주소)△장소 및 짧은 사건 설명이 포함된 경찰 사건 또는 형사 사건 정보 등이라고 설명했다.
그는 “형사사건 정보는 ‘수도계량기를 도난 당했다. 경찰이 기록을 남겼다’, ‘경찰에 신고한 사람이 차를 몰다가 실수로 차량 왼쪽을 긁었다’ 등인데, 이러한 기록은 관련자를 직접 언급하기 때문에 정보가 유출되면 피해를 줄 수 있다”고 했다.
2차 피해 우려, 이메일과 문자 모니터링해야
중국에 사업장을 두고 있는 회사들은 어떻게 대응해야 할까. 그는 “유출된 개인정보를 도용해 2차 범죄를 저지르거나 피해자 이름으로 사기를 저지르는 데 사용될 수 있다. 이메일이나 문자 메시지를 지속적으로 점검하면서 경계해야 한다. 사기 행위를 모니터링해야 한다”고 강조했다.
프로타소브 사장은 중국 공무원의 실수가 이번 해킹의 원인이라는 추정에는 어느 정도 동의했다. 중국 공무원이 실수로 중국인 10억명의 개인정보를 IT기술 커뮤니티에 게시한 게 사건의 발단이 됐을 가능성이 있다는 것이다.
그는 “실제로 접근 시 자격 증명이 포함된 데이터가 중국 최대 IT 기술 커뮤니티인 ‘CSDN(중국소프트웨어개발연맹)’의 개발자 블로그 게시물로 있었다. 이것이 공격자의 진입점이었을 수 있다. 조직의 로그 파일에 액세스하지 않고는 공격 벡터를 확인할 수는 없지만 가능성이 매우 높은 시나리오”라고 밝혔다
이어 “유출된 자격 증명 때문인지 아니면 처음부터 잘못 구성되었는지는 확실하지 않다”면서도 “(하지만) 일반적으로 이러한 종류의 노출은 누군가가 실수로 인터넷에서 사용할 수 있는 인증되지 않은 인스턴스를 남길 때 발생한다”고 부연했다.
클라우드 상에서는 접근제어 관리에 더 신경써야
프로타소브 사장은 “IT 인프라의 복잡성이 증가하면서, 특히 대규모 클라우드 데이터베이스 및 데이터 버킷(data buckets)에서 접근 제어가 제대로 관리되지 않아 생기는 대규모 데이터 침해 사례가 점점 더 많이 발생하고 있다”고 걱정했다. 그러면서 “이 사건은 역사상 가장 큰 데이터 유출로 오랫동안 남아 있지 않을 것”이라고 언급했다.