Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 관련사이트
  • 커뮤니티
  • 센터소개
    •

    산업기술/제조/경영

    책 커버 표지
    일경비즈니스_2018/09/10_패스워드 16억건 유출
    • 저자 : 日経BP社
    • 발행일 : 20180910
    • 페이지수/크기 : 98page/28cm

    요약

    Nikkei Business_2018.9.10 특집 요약 (p20-37)

    사이버 공격, 패스워드 16억건 유출
    소니, 도요타, 외무성 등 직원 정보 유출

    사이버공격에 의한 세계의 연간 경제손실이 60조엔을 돌파하였다. 범죄자집단뿐 아니라 국가를 방패로 한 첩보조직도 암약하고 있다. 북한은 핵개발 자금을 벌어들이고 있으며 러시아나 중국, 인도도 공세를 강화하고 있다. 본지는 사이버 전쟁의 확대를 상징하는 16억건의 패스워드 유출 사태를 발견하였다. 데이터를 분석한 결과 소니, 도요타자동차, 외무성 등의 직원의 피해가 확인되었다. 새로운 수법을 계속해서 만들어 맹점을 치고 들어오는 상대에 어떻게 대항할 것인가? 시대에 뒤떨어진 대책은 의미가 없다. 사이버 전쟁의 ‘최전선’을 따라가 보았다.

    Part 1. 사이버 공간에 소용돌이치는 음모
    영국인 스파이의 독백

    지난 여름 어느 날, 본지 기자는 지정된 빌딩의 한 사무실에서 영국의 전 첩보원과 접촉하였다. 온화한 표정 아래에 전장을 헤쳐 나온 무자비한 얼굴이 감춰져 있었다. 주요 활동 분야는 사이버전이다. 그는 세계가 직면하고 있는 ‘진실’에 대해 말하기 시작했다.

    나는 1990년대부터 영국 첩보원 일을 하였고 다수의 사이버 작전을 펼쳤다. 일본기업은 지금 심각한 위협에 직면해 있다. 오늘은 인터넷 사회의 ‘진실’에 대해 말하고 싶다.

    첩보원으로서의 커리어는 영국에서 시작되었다. 대학 졸업 후에 바로 입대하여 정보장교로서 훈련을 받았고 좋은 성적을 거뒀다. 그것이 상부의 눈에 들어 군의 첩보 부문에 배속되었다. 그 후에 여러 첩보기관을 경험하며 약 20년에 걸쳐 스파이 생활을 하였다.

    첫 업무는 아일랜드공화군(IRA)의 테러리스트 감시였다. 자택에 도청기를 설치하고 자동차에 추적장치를 달아 감시하였다. 자택 텔레비전 기종을 조사하여 도촬기를 내장한 같은 기종의 텔레비전을 집에 설치하기도 하였다.

    정보원의 확보도 중요한 임무다. 테러리스트 그룹의 간부가 자택에서 여장을 하고 있는 모습을 도촬하여 “이 사실이 알려지는 것을 원치 않으면 정보원이 되라”고 협박한 일도 있다. 밀고는 위험이 따른다. 배신이 탄로난 정보원이 동료들의 고문을 받고 살해되는 모습을 보여준 적도 있었다. 중동에서 무기 상인을 매수하거나 영국 특수부대(SAS)와 공동작전에 참여한 적도 있다. 인터넷이 보급되면서 사이버 공간에서의 활동이 많아졌다.

    성인사이트를 사용하는 방법은 이슬람 과격파 등의 감시에 유효했다. 감시 상대가 정기적으로 방문하는 사이트에 컴퓨터 바이러스를 설치, 사이트를 열람하면 컴퓨터가 감염되도록 하였다. 동료간에 주고받는 메일이 그대로 드러나 테러 계획을 미연에 방지하는데 여러 번 성공하였다.

    인터넷 경유로 바이러스에 감염시키는 것이 어려운 경우도 있었다. 그 경우에는 상대가 있는 건물 부지 내에 바이러스를 설치한 USB메모리를 던졌다. 무심코 주워서 컴퓨터에 연결하면 감염되는 것이다. 그러나 이 방법은 적에게 많이 알려져 최근에는 그다지 사용하지 않는다.

    -- 스마트폰이 도청기가 된다 --

    Part 2. 서플라이 체인이 표적
    예상 외의 ‘구멍’ 판명, 16억건은 회수 불가능

    사이버범죄집단이나 국가의 사이버부대가 인터넷의 어둠 속에서 기업을 타깃으로 정하고 있다. 공격 방법은 날이 갈수록 교묘해지고 있다. 모든 것이 공격 목표가 되고 피해 규모는 거대해졌다. 이미 물러설 수 없는 상황이다. 일본을 대표하는 거대 기업들이 입은 피해 실태를 살펴보자.

    소니 1만 7,695건, 도시바 1만 635건, 도요타자동차 8,194건. 일본을 대표하는 기업에서 일하는 사원의 정보가 대량 유출된 사실이 본지 취재로 알려졌다. 유출된 정보는 메일주소와 패스워드를 기록한 리스트다.

    원래는 이용자가 한정된 불법사이트에서 팔렸지만 현재는 누구나 액세스하는 사이트를 통해 무료로 다운로드가 가능한 상태다. 리스트에 적혀 있는 메일주소와 패스워드 수는 16억건에 달한다. 중에는 이미 사용하지 않는 메일주소도 일정 정도 포함되어 있지만 단순하게 계산하면 전세계 5명 중 1명의 비율로 메일주소와 패스워드가 사이버 공간에 노출되었다.

    과거 최대 규모의 이번 유출 건수는 전세계의 기업에서 정보가 새고 있다는 것을 말한다. 본지는 복수의 전문가와 공동으로 데이터를 분석하였다. 일본의 대형 제조기업을 추출한 결과, 가장 많았던 곳이 소니그룹이었다.

    소니의 정보보안부의 Jerry Hoff 매니저에게 이 사실을 알리자, 유출 사실을 정식으로 인정하지 않는다는 전제 하에 “한번 유출된 정보는 회수 불가능하다”라고 말했다. 유출된 소니 사원의 메일주소와 패스워드의 확산을 막을 방법은 없다.

    소니는 11년의 정보유출 사건을 계기로 보안 대책을 경영의 최우선 과제로 삼았다. CISO(정보보호최고책임자)를 임명하거나 사내 규칙을 엄격화하는 등 다양한 대책을 강구하고 있다. 그럼에도 불구하고 왜 1만 7,000건이 넘는 정보가 유출된 것일까? 밝혀진 것은 기업 주변에 잠재해 있는 ‘구멍’이다.

    이번의 정보 유출을 일으킨 것은 거래처 등 회사 외부의 사이트다. 16억건의 주소에는 각각 유출된 사이트가 표시되어 있다. 리스트에는 업무의뢰, 아르바이트 소개, 통신판매 등의 사이트가 즐비하다.

    사원이 업무로 외부 사이트를 이용할 때 회사 이메일 주소를 사용하여 회원 등록을 하고 그 정보가 누설된다. 중에는 사내 규칙을 지키지 않고 개인적으로 이용하는 사이트에 회사 이메일 주소를 등록한 사원도 있을 것이다

    “전문가의 조언을 바탕으로 사내 시스템에는 항상 최신 방어책을 실시하고 있다”라고 말하는 도요타에서도 외부 사이트가 ‘구멍’이 되어 그룹 전체에서 8,200건 가까운 정보가 유출되었다.

    -- ‘아울렛’이 유출처 --
    정보가 유출된 사이트에서는 패스워드를 암호화하여 보관하는 최소한의 대책조차 마련하지 않았다. 미쓰비시지소그룹이 운영하는 상업시설 ‘프리미엄 아울렛’도 그런 곳 중 하나다. 회원의 메일주소와 패스워드가 24만건 유출되었다. 이렇게 유출된 데이터를 누군가가 수집하여 16억건의 리스트를 만들었다.

    메일주소와 패스워드만으로는 큰 범죄를 저지를 수 없다고 생각하는 것은 경솔하다. 정보보안기업 Trend Micro의 조사에 따르면 인터넷 이용자의 85%가 패스워드를 돌려 사용하고 있다. 만약 회사에서 사용하고 있는 패스워드가 유출됐다면 본인으로 가장하고 사내 시스템에 침입할 위험이 있다. ‘리스트형 공격’이라고 불리는 수법이다. 정식 주소와 패스워드를 사용하여 로그인하기 때문에 부정 침입을 검증하는 것은 어렵다.

    NTT도코모에서는 8월에 리스트형 공격의 피해가 있었다. “iPhone X를 구입했다고 하는데 구입한 적이 없다”라는 고객의 문의가 급증하면서 발각되었다. 누군가가 계약자 1,800명의 계정에 부정으로 로그인하여 최대 1,000명의 명의로 구입, 스마트폰은 편의점에서 수령하였다고 한다. NTT도코모 사이버보안총괄실의 다카하시(高橋) 실장은 “패스워드가 어디에서 유출됐는지 모른다”라고 말한다. NTT도코모의 시스템에서 문제는 발견되지 않았으며 회사 외부에서 유출됐을 가능성이 있다.

    시장조사 회사인 ITR에 따르면 17년에 보안관련 사고를 경험한 일본기업은 70%에 달한다. 외부에서 정부가 유출됐다고 해서 회사의 책임이 없는 것은 아니다. 특히 기술정보나 고객정보 등 중요한 데이터를 사외 거래처에 맡기는 경우는 관리를 위탁한 책임이 따른다.

    -- ‘서플라이 체인 공격’ 급증--
    -- 결함을 알면서도 자동차 발매 --
    -- 미국 NSA의 비밀병기 유출 --

    Part 3. 일본기업을 포위하고 있는 4개국
    강탈한 돈으로 핵개발, 김정은의 ‘별동대’ 암약

    일본기업을 노리는 사이버부대를 꼼꼼히 조사해 보니 4개의 나라가 나왔다. 북한, 중국, 러시아, 이란은 최신 방법을 서로 교환하면서 공격 능력을 높이고 있다. 동맹국인 미국조차 전면적으로 신뢰해서는 안 된다. 사이버 공간에 아군은 없다.

    국가가 운용하는 사이버부대는 첩보나 시스템 파괴를 임무로 하는 경우가 많다. 그 중에서 북한은 특이한 존재다. 민간의 범죄집단처럼 금전 강탈을 목적으로 전세계를 휩쓸고 있으며 많은 일본기업이 그 먹이가 되고 있다. 북한의 ‘사이버 강도’는 어떻게 시작된 것일까?

    “공격 소프트 프로그램을 보면 전체적인 스타일이나 기술(記述) 방법으로 북한 것인지 여부를 알 수 있다”. 한국 서울에 있는 한 빌딩에서 만난 김흥광 씨가 조심스럽게 말을 꺼냈다. 탈북 지식인으로 조직된 NK지식인연대의 대표를 맡고 있는 인물로, 자신도 2000년대 초에 한국으로 넘어온 탈북자다. 현재도 북한 상부와 연결된 독자의 정보 루트를 유지하고 있다고 한다. 북한의 사이버부대의 동향을 살피고 있는 한국의 첩보기관 ‘국가정보원’도 그의 증언을 중시하고 있다.

    프로그램만 보고 북한의 공격 소프트를 구별할 수 있는 것은 자신의 제자들이 만들고 있기 때문이다. 김흥광 씨는 탈북하기 전에 함흥컴퓨터기술대학 등에서 컴퓨터과학을 가르쳤다. 많은 우수한 제자들을 첩보기관인 정찰총국 산하 121부대에 보냈다고 한다.

    121부대는 북한 최대 사이버부대로 1998년에 당시 김정일 총서기가 설립하였다. 현재의 부원은 약 4,500명이다. 조국에 충성을 맹세하는 대외첩보기관이지만 김정은 위원장이 권력을 승계하면서 서서히 성격이 변하기 시작하였다. 계기는 2013년 4월. 북한의 최고군사기관인 조선노동당중앙군사위원회에서 김정은 위원장이 내린 결단이었다고 한다.

    “나는 별동대를 사용하여 거액의 외화를 벌어들일 생각이니 돈 걱정은 하지 말고 5대 핵 타격수단을 완성시켜라. 그렇게 하면 남조선에서 미국을 몰아내고 반드시 조국을 통일시킬 것이다”. 핵폭탄과 장거리미사일, 잠수함발사탄도미사일(SLBM) 등 ‘5대 핵 타격 수단’을 개발하는 자금을 어떻게 조달할 것인가가 회의의 테마였다.

    그로부터 5년동안 별동대는 눈부신 ‘활약’을 보였다. 방글라데시중앙은행에서 89억엔이 사라진 사건과 한국의 가상통화교환회사에서 7억 6,000만엔이 사라진 사건 등에 대한 관여가 의심된다. 국제송금시스템을 해킹하여 세계의 금융업계를 흔들고 있다.

    -- 영화사도 북한의 타깃 --
    -- 범죄자가 사이버 병사로 변신 --

    Part 4. MUFG, 후지쓰, 파나소닉의 방위 대책
    사이버 후진국의 기업이 할 수 있는 일

    헌법과 자위대법의 제약으로 일본이 외국의 사이버 방위를 모방하는 것은 어렵다. 그러나 인명에까지 해커의 마수가 뻗치는 가운데 기업도 정부의 책임으로만 돌릴 수는 없게 되었다. 독자적으로 인텔리전스팀을 설치하는 등 핸디캡을 극복하려는 움직임도 있다.

    올 3월, 육상자위대의 이치가야주둔지(도쿄). IT기업의 사원 30명이 육상자위대의 사이버부대 ‘시스템 방호대’에게 극비 훈련을 받고 있었다. 그들은 유사시에 소집되는 ‘예비자위관’이다.

    일반적으로 예비자위관은 사격이나 행진 훈련을 한다. 그러나 이날은 2개의 팀이 서로의 컴퓨터에 침입하는 ‘Capture The Flag’를 실시하였다. 보안기술자가 실력을 경쟁하는 게임이다. 시스템 방호대의 설립 이래 13년동안 예비자위관의 훈련을 실시한 것은 처음이라고 한다.

    자위대의 사이버부대 임무는 방위성과 자위대의 지휘명령계통과 장비 등의 시스템을 지키는 것이다. 자위대법의 제약으로 인해 민간기업은 보호할 수 없다. 한편, 더욱 강해지는 외국의 사이버 부대에 민간기업이 대항하기 위해서는 자국의 사이버부대로부터 기밀정보의 제공을 받는 ‘간접지원’이 필요하다. 그 창구로서 예비자위관을 육성하는 것이 이번 훈련의 목적이었다.

    배경에는 외국에서 실시되고 있는 ‘Security Clearance(SC)’제도가 있다. SC는 국가기밀을 열람하기 위한 자격이다. 학력, 경력, 범죄이력, 출국이력, 재산, 가족관계 등을 엄격하게 체크하여 정보 누설의 우려가 없다고 인정된 자국민에게 부여한다. 공무원뿐 아니라 민간기업의 사원도 대상이다.

    SC보유자는 국가기관과 민간기업의 정보 연계의 중심이 된다. 기업에 공유되는 정보에는 첩보기관이 타국의 군사관계자나 해커들과 접촉하여 얻은 ‘인텔리전스 정보’도 포함된다.

    사이버부대는 모든 수단을 동원하여 기업을 공격한다. 공안조사청 관계자에 따르면, 클라우드소싱사이트를 통해 북한공작원으로 보이는 인물이 14~16년에 국내 IT회사에서 약 100건의 시스템 구축을 수주했었다. 납품된 프로그램이 취약하면 외부에서 마음대로 침입할 수 있다. 이러한 공격에 대항하기 위해서는 기업은 국가기밀도 포함한 정보를 얻어야 한다.

    일본에는 특정기밀보호법에 근거한 유사 제도가 있지만 자격보유자 12만 4,000명 중 민간인은 3,000명뿐이다(17년 말 시점). 이대로라면 일본기업만 인텔리전스 정보에서 단절되게 된다. 때문에 육상자위대는 SC보유자 대신에 사이버 예비자위관을 육성하는 것이다.

    경제계도 동조하고 있다. 일본경제단체연합회는 작년 12월, 일본판 SC제도의 검토를 요구하는 성명을 발표하였다. SC제도의 불비가 사업에서도 불리하게 작용하기 때문이다. 예를 들면, 미국의 국립표준기술연구소가 작성하고 있는 미 정부 조달 IoT기기의 취약성 리스트. 열람이 가능한 사람은 미국의 SC보유자뿐이다. 일본기업이 이 정보를 얻지 못하면 미국 정부 관계의 사업에서 불리해진다.

    -- 사이버 방위에 4개의 과제 --
    -- ‘레거시’ 방치가 위기를 증대 --
    -- ‘CISO’가 관건인 경영 개혁 --

      -- 끝 --

    목차