2011년 보안 이슈 총정리

그간 적적했던 것 같습니다. 가끔씩 제가 번역한 기사나 쓴 기사들을 올리도록 하겠습니다. 2011년 보안 이슈 총정리 작성자 엘렌 메스머 Ellen Messmer, Network World   2010년 새해 전날 밤 샌프란시스코의 비상대책센터에서 아무도 암호를 몰라 백업 시스템을 구동할 수 없었던 사건은 어쩌면 앞으로 일어날 일에 대한 징조였을지도 모른다. 하지만 2011년이 저물어가는 지금 우리는 헤드라인(Headline)을 장식했던 최대의 보안 이슈들을 되짚어 보고 있다. 수많은 서비스 중단사태부터 데이터 해킹사건을 일으킨 해킹 그룹 어나니모스(Anonymous)와 중국에 이르기까지 다사다난한 한 해였다고 할 수 있다. 어떤 이들은 2011년을 APT(Adnvanced Persistent Threat)의 한 해였다고 표현하고 싶을 것이다.   3월 중순의 사건 RSA 회장 아트 코비엘로는 올해 3월 중순에 RSA가 해킹당했으며 자사의 SecurID의 명목상 인증과 관련된 정보를 도난 당했다고 발표했다. 그러나 이는 문제의 시작에 불과했다. 그 후에 해당 공격자들은 록히드 마틴 등의 RSA 고객들을 뒤쫓은 것으로 알려졌다. 코비엘로는 보안 업체인 시큐어웍스가 분석한 증거를 토대로 중국을 지목했으나 코비엘로는 중국이라는 이름 대신에 '민족 국가'라는 호칭을 사용해 비난했다. 또한 APT(Advanced Persistent Threat)라는 용어를 사용해 유행시켰다.   관련 보안 사고 사례 APT는 네트워크에 대한 끊임없는 공격을 묘사하기 위해 공군이 최초로 사용한 용어다. RSA 공격으로 인한 모기업 EMC의 손실은 지난 해 2분기에 5,500만 달러인 것으로 보도됐다. 2011년에는 APT가 여러 곳에서 발견됐다. 한 예로 노르웨이의 국가안전보장국(National Security Agency)은 지난 11월 에너지 및 국방 관련 기업들이 정교한 공격의 대상이 됐으며 기밀 계약 협상 등에 관한 업계 기밀과 정보를 도난 당했다고 발표했다. 노르웨이의 10개 기업들이 악성 소프트웨어 검출 시스템으로 검출되지 않는 바이러스를 포함한 이메일에 의한 피해를 입었다고 한다. 노르웨이 국가안전보장국은 예상되는 APT의 출처에 관해 함구했다.   구멍을 메워라! 소프트웨어 취약성을 노출시키기 위한 오직 '양심적' 해킹만을 한다고 주장하는 YGN 양심적 해커 그룹인 버메스(Burmese) 그룹은 맥아피의 웹 사이트에서 취약성을 발견하고 조용히 맥아피에 연락을 취해 이런 사실을 알렸다. 하지만 맥아피가 웹 사이트를 수정하지 않자 YGN은 지난 3월 이를 대중에 공개해 맥아피에 창피를 주었다. 맥아피는 자사의 고객들이 위험에 처해있지 않다고 변명했다. 대중에 공개된 웹 사이트에 대한 허가되지 않은 취약성 테스트를 일삼는 YGN의 활동은 미국 법령에 저촉된다. YGN 때문에 다소 보안 문제를 가볍게 여겨왔던 애플도 자사의 개발자 웹 사이트를 수정하기 이르렀다.   열려라 참깨! 오픈 소스, 해킹을 당하다 지난 해 오픈 소스의 요새들이 침입을 당했다. MySQL.com, 리눅스 재단의 Linux.com과 Linux.org, Kernel.org 등이 당했으며, 오픈소스 OS 커머스(Commerce) 소프트웨어는 악성 소프트웨어로 피해를 입었다. 한 러시아 해커가 My.SQL의 도메인에 대한 루트 접속 권한을 3,000달러에 판매하고 있다는 소문도 있었다.   지금 내 목소리가 들리는가? 2010년 12월에 운영을 시작한 버라이즌의 4G LTE 네트워크는 전국적인 서비스 중단 사태를 겪었다. 하지만 지난해 이런 문제를 겪은 것은 비단 버라이즌만이 아니었다. RIM은 지난 10월 전 세계적으로 4일 동안 블랙베리 데이터 서비스 중단 사태를 겪었으며, 애플의 아이폰에 대항해 블랙베리의 인지도를 쌓기 위해 고전하던 가운데 발생한 사건이라 그 피해가 더욱 컸다. RIM의 '듀얼 리던던트(Dual Redundant) 듀얼 캐패시티(Dual Capacity) 코어 스위치'가 작동하지 않고 백업 기능이 활성화되지 않아 전 세계의 블랙베리 사용자들이 서비스를 거의 사용하지 못하는 지경에 이르렀고, RIM 공동 CEO 마이크 라자리디스는 해당 사태를 기업 역사상 최악의 사태로 인정하고 고객들에게 공개적으로 사과해야 했다. 지난 11월 북미와 유럽 지역에서 인터넷 중단 사태가 발생했다. 이는 보더 게이트웨이 프로토콜 업데이트를 받는 주니퍼 라우터의 버그와 관련된 것으로 밝혀졌으며, 레벨 3(Level 3) 등의 통신사들이 피해를 입었다. 우리가 매일 당연한 것으로 여겼던 것들이 얼마나 쉽게 사라질 수 있는지 보여주는 예라고 할 수 있다.   클라우드도 마찬가지... 마이크로소프트의 BPOS 클라우드 기반 통신 및 협업 스위트도 지난 6월 서비스 중단 사태를 겪었다. 아마존의 EC2 서비스에도 지난 4월 이용 문제가 발생했으며 지난 8월에는 잠시 서비스가 중단되기도 했다. VM웨어의 클라우드 파운드리 서비스는 베타 서비스 단계에서 서비스 중단 사태를 겪었다. 노스롭 그루먼도 문제를 겪었다. 해당 기업은 버지니아 주의 26개 공공 기관에 제공하고 있는 데이터센터 서비스와 관련된 중단 사태가 발생하자 약 500만 달러의 보상금을 지급하기로 합의했다.   일리노이 정수 처리시설 펌프 파괴 사건 일리노이주 정수 처리시설 공격은 러시아의 사이버 공격인가? 아니면 관광차 러시아를 방문한 적이 있는 도급 업체의 소행인가? 지난 11월 러시아 내부의 IP 주소에서 발원한 외부 사이버 공격에 의해 일리노이 중부의 커랜 가드너 지역 수도국의 내부 SCADA 시스템이 피해를 입어 원격으로 조작되는 펌프가 타버렸다. 일리노이주의 STIC(Statewide Terrorism & Intelligence Center)는 해당 사건에 대한 기밀 보고서를 작성했으나, 워싱턴 포스트의 한 기자에게 보낸 서류를 읽게 된 에너지 업계 분석가이자 작가인 조 바이스에 의해 지난 11월 유출됐다. 하지만 이로 인한 혼란 속에서 FBI와 국토안보부(DHS)는 일리노이주의 STIC를 조사해 봤으나 해당 보고서를 입증할 수 있는 그 어떤 것도 발견하지 못했다고 밝혔다. 정보통에 따르면 러시아로부터의 네트워크 접속은 현재 러시아를 방문했을 때 원격으로 커랜 가드너의 네트워크에 접속한 이력이 있는 커랜 가드너 지역 수도국의 한 도급업체에 연결되어 있다고 한다. 하지만 DHS는 "해당 사건에 대한 조사가 진행 중..."이라고 밝혔다.   2011년의 정보 유출 사건 총정리 - 지난 4월 '소니 핵(Sony hack)'이라 불리는 사태로 인해 해커들이 소니의 온라인 플레이스테이션 네트워크 회원 7,700만 명의 신용카드 번호 등의 정보를 얻게 되어 소니는 강제로 서비스를 중단해야 했다. 지난 5월 소니는 해당 공격으로 1억 7,000만 달러의 피해를 입었다고 밝혔다. - 한때 잘 알려지지 않았던 마케팅 기업 엡실론은 지난 4월 한 해커가 자사의 고객 가운데 약 2%에 해당하는 고객명과 주소를 훔쳐갔다고 발표했으며, 이로 인해 월그린스, 베스트 바이, 씨티은행, JP모건 체이스, 크로거 슈퍼마켓 체인망 등이 피해를 입었다. - 자신을 '코모도해커'라고 밝힌 21살의 이란인 학생의 주장에 따르면, 코모도, 디지노터, 글로벌사인 등 일련의 SSL 디지털 인증서 제공업체들을 공격해, 공격자들이 사용자의 지메일 계정의 로그인 정보를 훔쳐갈 때 피해자의 브라우저에 해당 사이트가 진짜 구글 사이트가 아닐 수 있다는 경고가 나타나지 않도록 하는 가짜 구글 인증서를 만들 수 있게 되었다. 구글 인증서는 이로 인해 폐지됐다. 네덜란드에 위치한 바스코 시큐리티 시스템즈가 소유하고 있는 디지노터는 이 해킹 때문에 네덜란드 정부가 디지노터의 인증서 사용을 금지하면서 도산했다. - 지난 4월 오랫동안 공격 대상이 되어 온 미 정부의 연구 기관들이 공격을 받아 테네시주의 오크리지 국립연구소는 이메일과 인터넷 접속을 끊어야 했다. 해당 사이버 공격에서 573명의 연구 직원들에게서 피싱 메일이 발견되었다. 에너지부의 태평양 북서부 국립연구소 또한 지난 여름 이와 유사한 스피어 피싱 공격을 받은 뒤 이메일과 인터넷 연결을 차단해야 했다. - 지난 6월 씨티그룹은 해커들이 침입하고 신용카드 번호를 훔쳐 약 36만 명의 고객들이 피해를 입었다고 밝혔다. 피해액 : 270만 달러. - 텍사스주에 거주하는 320만 명 이상의 주민들에 대한 사회보장 번호와 기타 개인 정보가 유출된 사고로 인해 감독관 사무실의 정보 보안 책임자와 혁신 및 기술 책임자들이 해고됐다. - 지난 11월 포토샵으로 수정하여 말로 표현하기 어려운 동작을 취하고 있는 저스틴 비버 등의 외설 사진이 페이스북을 떠돌아 다녔으며 이는 사용자들에 대한 '클릭잭킹(Clickjacking)' 공격에 의한 피해로 분석되고 있다. 페이스북은 이 모든 사태를 수습해야 했다. - 루마니아 정부는 다수의 NASA 서버에 침입해 미 항공우주국의 시스템에 50만 달러의 피해를 입힌 혐의를 받고 있는 26살의 해커를 체포했다. 로버트 버티카는 루마니아에서 재판을 받게 될 것이다.   누가 앱 스토어를 신경쓰는가? 지난 3월 구글이 50개에 달하는 안드로이드 앱을 자사의 안드로이드 마켓에서 강제로 철수시킨 일은 다소 충격적이었다. 구글은 해당 앱들이 악성 애플리케이션이었다는 사실을 발견한 것이다. 일명 드로이드드림(DroidDream) 악성 소프트웨어 이야기는 이전에 구글 안드로이드 마켓에 발생한 어떤 사건보다도 심각한 것이었다.   다사다난했던 어나니모스(Anonymous) 전 세계의 기업과 정부 기관들을 대상으로 네트워크에 침입하여 데이터를 훔치고 이를 공개하거나 사이트를 다운시키는 공격을 감행하는 숨겨진 해킹 집단 어나니모스에게 있어서 2011년은 아주 성공적인 한 해였다고 할 수 있다. 지난 겨울 해당 해커 집단을 추적하려고 했던 보안 업체인 HG개리 페더럴에 대한 공격에 감행한 어나니모스는 코치 인더스트리즈, 뱅크 오브 아메리카, 나토 등에 대한 공격을 주도했다. 또한 뉴욕 증권거래소에 대한 약소한 DDoS 공격으로 끝나버린 사태에 대해서도 책임이 있는 것으로 알려져 있다. 어나니모스는 전세계적으로 월가를 점령하라(Occupy Wall Street) 데모를 촉발시키는데 핵심적인 역할을 했으며 샌프란시스코의 '바트 작전(Operation Bart)'에도 상당한 영향을 끼친 것으로 보인다. 또한 튀니지, 브라질, 짐바브웨, 터키, 호주, 말레이시아 정부, 플로리다 상공회의소 등과 관련된 온라인 리소스에 대해서도 강경한 입장을 취했던 것으로 알려져 있다. 최근 어나니모스의 활동은 아동 포르노 사이트와 멕시코 마약 카르텔에 집중되어 있어 단속에 어려움을 겪고 있다고 한다.   두큐, 우리가 기대하지 않았던 것 지난 10월 두큐(Duqu)라고 알려진 바이러스가 보안에 중대한 위협이 되자 헝가리의 연구소 크라이시스가 세계 최고의 백신 업체들과 새로운 위협에 대한 분석을 공유하게 됐다. 이후 보안 개발업체 카스퍼스키 연구소는 수단에서 새로운 두큐 악성 소프트웨어의 감염을 확인했으며, 트로이 목마 이전에 존재하던 스턱스넷의 주요 목표였던 이란에서도 감염 사실을 확인했다. 산업 사보타주 웜 바이러스인 스턱스넷으로부터 코드와 기능을 가져온 것으로 생각되는 두큐는 데이터 밀매를 위해 사용되는 탄력적인 악성 소프트웨어 제공 프레임워크라 할 수 있다. 트로이안의 주요 모듈은 시스템 프로세스에 악성 라이브러리(DLL)를 주입하는 커널 드라이버, 통제 서버와의 통신을 제어하고 레지스트리 엔트리 작성과 파일 실행 등의 기타 활동을 명령하는 DLL 자체, 설정 파일 등 3개의 요소로 구성되어 있다. 크라이시스는 결국 감염된 시스템에서 해당 바이러스를 검출하고 제거하기 위해 툴킷을 공개했다. 마이크로소프트 또한 픽스잇(Fix-it) 툴을 공개해 윈도우 사용자들이 드큐의 위협을 막기 위해 수동으로 자신들의 시스템에 패치할 수 있도록 했다. 두큐는 기업들에 대한 타깃 공격(Targeted Attack)을 위해 만들어진 것으로 추정되며 2012년에는 그 공격이 더욱 거세어질 것으로 보인다.   3.4 디도스 사건. '10일간의 비' 지난 3월 복수의 티어(Tier)를 가진 봇넷(Botnet)이 10일동안 한국의 컴퓨터를 공격했다. 그리고는 갑자기 공격이 멈추더니 해당 악성 소프트웨어가 좀비 PC들에 최후의 일격을 가해 파일들을 파괴하고 부팅 불능 상태로 만들어 버렸다. 맥아피의 보안 전문가들은 해당 공격이 북한에서 시작된 것이며, 40개의 명령 및 통제 서버, 검출을 막기 위한 코드 업데이트, 복수의 암호화 스키마(Scheme) 등 방법의 정교함은 효과적인 DDoS 공격을 감행하기 위한 것 이상이었다고 밝혔다. 맥아피는 '10일간의 비'는 한국 정부와 군 도급업체들이 어떻게, 얼마나 빨리 대응하는지 측정하기 위해 계획된 정찰 작전이라 할 수 있으며, 이로 인한 정보는 나중에 더욱 큰 피해를 입힐 수 있는 공격을 계획하기 위해 사용될 것이다고 밝혔다. <A href="mailto:editor@itworld.co.kr">editor@itworld.co.kr</A>     2011's biggest security snafus By Ellen Messmer, Network World Perhaps it was an omen of what was to come when the city of San Francisco on New Year's Eve 2010 couldn't get a backup system running in its Emergency Operations Center because no one knew the password. But as 2011 begins to fade to black, we look back at the biggest security snafus that made headlines, from the numerous service outages to data hacks attributed to everything from the shadowy group Anonymous to China. Some might even want to label 2011 the year of theadvanced persistent threat. Beware the Ides of March When RSA Executive Chairman Art Coviello in mid-March announced that RSA had been hacked and information stolen linked to its SecurID token authentication, that was just the start of trouble. In what can be considered the data breach of the year, it became clear later on that the attacker was going after RSA customers, including Lockheed Martin. Credit Coviello (who has since blamed a "nation-state" without using the name China, though at least one security vendor, SecureWorks, claims analyzed evidence points strongly in that direction) for popularizing the phrase 'advanced persistent threat" (APT). Related Content APT is an expression‎ first used by the Air Force to describe the unremitting attacks on its networks. The cost of the RSA breach for parent company EMC was reported at $55 million in the second quarter of last year. APTS were bursting out all over in 2011. In just one example, Norway's National Security Agency in November disclosed that oil, gas and defense firms there had been targeted by sophisticated attacks in which industrial secrets and information about confidential contract negotiations were stolen. 10 companies in Norway were said to have been hit by customized email containing viruses that didn't trigger anti-malware detection systems. The Norwegian security agency didn't state any probable source for the APTs there. Patch that hole! The YGN Ethical Hacker Group, the Burmese group which claims to do only "ethical" hacking to expose software vulnerabilities, spotted vulnerabilities in McAfee's website and quietly contacted McAfee to tell the company about it. But when McAfee didn't fix the website, YGNwent public in March, causing some embarrassment to the security vendor, which says its customers weren't in danger. YGN, whose practices doing unauthorized vulnerability testing of public-facing websites does defy U.S. law on the practice, also got Apple, which had also been a bit lax, to fix its developer website. Open sesame! Open source hacked These open-source bastions were scaled and taken last year: MySQL.com, the LinuxFoundation with Linux.com and Linux.org, and Kernel.org; plus open source OS Commerce software was compromised with malware. A Russian hacker claimed to be selling root access to the My.SQL domain for $3,000. Can you hear me now? Verizon's 4G LTE network, which came online in December 2010, suffered a nationwide outage. They weren't the only one last year. The four-day global outage of the BlackBerry data services in October was not the kind of attention that RIM wanted, already struggling to keep the BlackBerry looking smart in the face of the Apple iPhone publicity barrage. But when RIM's "dual-redundant, dual-capacity core switch" failed and its backup failed to activate, causing BlackBerry users around the world to either receive weak or no service at all, RIM co-CEO Mike Lazaridis was compelled to issue a public apology to customers, acknowledging the outage as the worst in the company's history. In November, Internet outages were briefly suffered across North America and Europe that were apparently related to bugs in Juniper routers receiving a Border gateway protocol update, impacting carriers such as Level3. A reminder about how easy it can be to lose what most of us take for granted every day. Not exactly floating on a cloud either ... Microsoft BPOS cloud-hosted communications and collaboration suite suffered an outage in June, while Amazon's EC2 service in April suffered availability issues and a shorter outage in August. VMware's Cloud Foundry service suffered an outage in beta. And don't forget Northrop Grumman. It agreed to pay almost $5 million to 26 Virginia state agencies after an outage related to data-center services it was providing to them. Russian cyberattack on Illinois water facility, or just a contractor who happened to be on a trip to Russia? Was it a foreign cyberattack originating from an IP address in Russia that hit an internal SCADA system at the Curran-Gardner Townships Public Water District in central Illinois, causing a water pump, turned on and off remotely, to burn out in November? The Illinois Statewide Terrorism & Intelligence Center (STIC) issued a confidential report to this effect, which was leaked in November by energy industry analyst and author Joe Weiss who read its contents to a reporter at the Washington Post. But in the media uproar that followed, the FBI and Department of Homeland Security said it investigated the Illinois STIC claims and could find nothing to validate them. Sources say the network access from Russia is now linked to a contractor working for Curran-Gardner Townships Public Water District who happened to be in Russia when he remotely accessed Curran-Gardner's network. But DHS indicates "analysis of the incident is ongoing ..." The data-breach hit parade of 2011 - The so-called "Sony hack" in April allowed hackers to get customer information for 77 million members of Sony's online PlayStation network, including credit-card numbers, an act that forced Sony to take down its service. In May, Sony said the attack cost it $170 million. - The once-obscure marketing firm Epsilon in April disclosed a hacker had stolen an estimated 2% of the customer names and addresses of its client base, impacting Walgreens, Best Buy, Citibank, JPMorgan Chase, Kroger's supermarket chain and more. - When a string of SSL digital certificate providers, including Comodo, DigiNotar and GlobalSign,were breached, some of them allegedly by a 21-year-old Iranian student calling himself "Comodohacker," the fallout included the creation of a fake Google certificate (since revoked) that allowed the attacker to capture login details of a person's Gmail account without a warning from the victim's browser the site might not really be Google. DigiNotar, owned by Dutch-based Vasco Security Systems, went bankrupt as a result of the hack, especially after the Dutch government banned use of DigiNotar certificates. - U.S. government research labs, long a target for attack, were hit, with Oak Ridge National Laboratory in Tennessee forced to shut down its email and Internet access in April following a cyberattack in which phishing email was sent to some 573 lab employees. The Department of Energy's Pacific Northwest Laboratory also shut down email and Internet connectivity after a similar type of spear-phishing attack in the summer. - In June, Citigroup acknowledged that hackers broke in and managed to steal credit-card numbers from about 360,000 affected clients. The fraud loss: $2.7 million. - The Texas State Comptroller's Office fired its heads of information security and of innovation and technology after an inadvertent data leak that exposed Social Security numbers and other personal information on more than 3.2 million people in the state. - In November, a flood of porn -- like photoshopped images of Justin Bieber in unmentionable acts -- hit Facebook in what's believed to be a "clickjacking exploit" against users. Facebook got to cleaning it up. - Romanian authorities arrested a 26-year-old hacker accused of breaking into multiple NASA servers and causing $500,000 in damages to the U.S. space agency's systems. Robert Butyka, said to use the handle "Iceman," is expected to be tried in Romania. Who's minding the app stores? It was something of a shock when Google in March was forced to yank down about 50 Androidapps from its Android Market after finding out they were actually malicious applications. Dubbed the DroidDream malware episode, it was far worse than anything that had hit Google Android Market before. Big year for Anonymous Last but hardly the least, 2011 was a banner year for the shadowy hactivist collective Anonymous, which generally targets business and government organizations around the world whose practices are despised for one reason or another, typically by hacking into networks to steal data and post it, or launching attacks to take sites offline. In addition to the high-profile attack last winter against security firm HBGary Federal, which was trying to track the hacker group, Anonymous is believed to have led attacks on Koch Industries, Bank of America and NATO, plus what ended up being a weak DDoS attack on the New York Stock Exchange. Anonymous played a role in spurring on the Occupy Wall Street movement demonstrations around the world, not to mention San Francisco's "Operation Bart." Other actions this years from Anonymous are believed to have been against online resources associated with Tunisia, Brazil, Zimbabwe, Turkey, Australia, the Malaysian government and the Florida Chamber of Commerce. More recent Anonymous hactivism this year has focused on child-porn sites and the Mexican drug cartel, which is accused of taking an Anonymous participant captive. Duqu: Something we're not looking forward to The virus known as Duqu hit the security stage in October when the Hungarian research laboratory CrySyS shared its analysis of the new threat with the world's top antivirus vendors. Security vendor Kaspersky Lab then identified infections with the new Duqu malware in Sudan and, more important, in Iran, the main target of the Trojan's predecessor -- Stuxnet. Believed to be closely related to the Stuxnet industrial sabotage worm, from which it borrows code and functionality, Duqu is a flexible malware delivery framework used for data exfiltration. The main Trojan module has three components: a kernel driver, which injects a rogue library (DLL) into system processes; the DLL itself, which handles communication with the command-and-control server and other system operations, like writing registry entries or executing files; and a configuration file. CrySyS ultimately released a toolkit to detect and remove the virus from affected systems. Microsoft too released a Fix-it tool to allow Windows users to manually patch their systems to thwart the Duqu threat. Duqu is believed to have been created for targeted attacks against organizations and it is likely the malware will be a big story in 2012. 10 Days of Rain A multi-tiered botnet attacked South Korean computers for 10 days in March, proving to be a stubborn force that couldn't be taken down. Then suddenly it just stopped, with the malware delivering a coup de grace to the zombie machines that destroyed files and rendered the machines unbootable. Security experts at McAfee say the attack was launched from North Korea, and that its level of sophistication -- 40 command and control servers, code updates to thwart detection, multiple encryption schemes -- was far beyond what was needed to run an effective DDoS attack. McAfee's spin: 10 Days of Rain was a reconnaissance mission designed to gauge how and how quickly South Korea's government and military contractors would react -- valuable information for a later, truly damaging attack.