해킹사회를 읽으며...03

해킹사회
찰스 아서
미래의 창

이 글 포스팅은 해킹사회라는 책을 읽고 생각과 내용을 요약 정리하는 글입니다. 자세한 내용은 책을 구매 혹은 대여하여 보시기 바랍니다. ^^
구매 참고: (http://www.yes24.com/Product/Goods/71962870)

이 챕터의 목차 
1. 벌집을 들추지 말라
2. 우연한 발견 
3. 악당들의 등장
4. 재앙의 문이 열리다.
5. 위기에 대처하는 방법
6. 후유증

1. 벌집을 들추지 말라 
이 장에서는 유명한 해커집단  어나니머스(Anonymous 이하 anon) 에 대해 다루고 있다. 
어나니머스는 다양한 사이트에 침입하여 각종 영상을 유포하고 2010년 12월에는 페이팔과 비자 사이트까지 마비시켰던 해킹집단이다. (어나니머스의 공격으로 당시 비자와 페이팔은 약 350파운드의 영업손실을 입었다고 밝혔다.) 
어나미머스는 한국에서는 많이 알려져 있지 않지만 북한관련 인권 문제에 대한 이슈로 언급되었던 적이 있다. 
http://www.hani.co.kr/arti/economy/it/586466.html

어나니머스 “6·25에 북한 해킹 공격하겠다”

https://www.wikitree.co.kr/main/news_view.php?id=240010

'어나니머스 어떤 일 했나' 해킹 사례 8선

이러한 뉴스들을 봐도 그들의 업적(?)을 쉽게 찾아볼 수 있다. 
이 챕터에서는 그 사건들 중 HB개리 페더럴(HBGary Federal 이하 HB)이라는 회사의 해킹 공격에 대해 자세히 다루고 있다. 
HBGary는 사이버 보안전문가였던 그렉 호그룬드가 세운 보안업체이다. 수익성이 높은 정부계약을 따내는 데에 집중한 HB는 기존 고객들과 충돌을 일으킬 소지가 있었다. 게다가 정부와 맺는 계약은 굉장히 엄격한 보안 등급이 요구되었다. 
사업성은 확실했지만, 현실적으로 회사구조와는 잘 맞지 않는 상황이었다. 그래서 설립된 것이 HBGary Federal(HB) 이다. 즉, HBGary 와 HBGary Federal은 다른 회사이다. HB를 설립한 것이 2009년 12월이다. 기본금 25만달러 중 3만5000달러는 새롭게 임원이 된 애론 바이고, 8만 7500달러는 호그룬드의 부인, 6만500달러는 HB개리의 자금이었다. 나머지는 소액주주 2명이 각각 3만 달러씩 보탰다. 
여기서 애론 바... 그는 미 해군 암호전문가, 프로그래머, 시스템 분석가로 12년간 복무했던 사람이었다. 이후 노스롭 그루만이라는 대기업에서 사이버 보안 수석 엔지니어로 일했다. 그러던 중 그는 스타트업에서 새로운 소프트웨어를 개발하고싶은 마음에 HB에 투자하여 직접 보안업계에 뛰어든 것이다. 
당시에는 어나니머스라는 단체가 알려지긴 했지만 초창기라 그리 위협적이거나 신경쓸 단체가 아니었다. 

2011년 1월 상황이 급변하기 시작한다. 
HB는 업계 경쟁 심화로 수이기이 나빠졌고, 매각설까지 논의되고 있었다. 
이 당시에 바는 특이하게도 어나니머스라는 해킹집단에 관심을 두고 있었다. 비정형 해킹집단이었던 anon은 처음에 메세지 위주의 게시판 포챈(4chan)에서 시작해 점진적으로 IRF네트워크로 옮겨가며 세계를 바로잡고자 노력하고 있었다.
*IRF network : Internet Relay Chat 실시간 채팅 프로토콜 

문제는 비사이드Bside콘퍼런스 였다. 여기서 바는 발표를 맡게 되었다.
그는 소셜네트워크의 보안취약성에 대해 언급하면서 어나니머스의 익명성을 파헤칠 수 있다고 언급하려했다. 
본인이 어느정도 그들의 정보를 갖고 있고, 구체적으로는 30일간 그는 어나니머스 그룹을 '관리'했고 멤버 80%이상의 신원을 파악할 수 있다고 말할 예정이었다.
심지어 더 많이 알아 낼 수 있지만 이 정도에 그친 것이라고까지 말할 것이라고 발표자료를 만들었다. 
이것이 HB의 악몽의 전조라고 할 수 있다. 

2009년 3월 
조지프 멘 Joseph Menn 은 <파이낸셜 타임스>에 입사하여 테크놀로지 팀에서 사이버 보안 및 프라이버시 등에 대한 기사를 쓰고 있었다. 그러던 중 그는 HB의 이메일을 받고 인터뷰를 하게 되는데, 심지어 그는 바를 인터뷰하여 컨퍼런스에서 발표할 내용을 미리 인터뷰하기로 한 것이다. 그도 이런 해킹집단에 흥미를 느끼고 대중도 관심이 많았기에 적극적이게 인터뷰를 한다.
심지어 그는 멘이 기억하기에 인터뷰 시작부터 기사 작성까지는 24시간도 채 걸리지 않았다고 한다. 기사 요소는 흥미로운데 조사할 거리는 별로 없을 때 걸리는 시간 정도 였다. "그는 합리적인 해답을 알고 있는 것 같았어요. 그가 할 수 있었던 일들에 대해 아주 겸손하게 얘기를 해주었죠. 아마 저희 편집부에서도 그렇게 생각한 것 같아요. 평범한 이야기라고 말이죠." 
그 평범한 이야기는 2010년? 2월 5일 토요일에 신문지면과 온라인에 실리게 된다. (기사를 찾아보진 못함) 

이후 바는 사람들의 논란에 대비하여 자신의 발표자료의 근거를 모으고 있었고, SNS를 통해 언급하려고 했지만 그렇게 되지 않았다. 이유는 어나니머스 때문이었다. 

어나니머스는 HB의 서버를 털어 그의 발표자료, 이메일 등을 모두 털어갔다. 

그렇다면 어떻게? 그 방법에 대해 이 챕터에 대해서 자세히 다루고 있다. 
가장 큰 힌트는 SQL injection 이다. 
그 외에 다양한 암호 알고리즘을 해석하고 사회적 기술(Social Engineering) 을 활용하기 까지,, 
어나니머스의 대담함과 치밀함이 보여지는 챕터이다. 

이 챕터에서는 정말 자세히도 어나니머스의 해킹방법을 설명해주고 있다. 그리고 그들을 자극한 바의 최후도 보여준다. 
또한 개발자, 엔지니어들의 오만함이 낳은 결과라는 것을 보여주려고 하는 것 같았다. 

특히 SQLinjection 은 요즘은 많이 알려진 방법이지만 이보다 훨씬 전에 MS에서 이를 알아내고 이미 개발자들도 알고 있었다고 하는 부분을 보면 
아무리 뛰어난 개발자도 그 위험성과 나쁜의도로 어떻게 사용될지 아무도 모르는 것 같았다. 

여기서 해킹사건이후 당한 사람들의 말을 보면 하나 같이
"굉장히 끔찍해요. 발가벗겨진 기분이었습니다." 라는 말이었다. 

이후 바는 해킹 사건을 수습하느라 바빴고,, 발표는 취소 되었으며. 
이 컨퍼런스에서의 직원들은 부스에서 갖은 욕과 폭력에 시달렸다고 한다. 
토크쇼 진행자 스티븐 콜버트는 HB와 바를 신랄하게 공격하기도 했다고 한다. 

해킹 3주뒤, 2011년 3월 1일 그는 CEO 자리에서 물러났다. 이후 다행히도 HBGary는 1년 간 유례없이 성장하였고, 2012년 2월 IT 서비스 회사인 맨테크 인터내셔널이 HBGary를 인수했다. 그러나  HBGary Federal은 인수대상이 아니었다.

HBGary Federal을 해킹한 해커는 다른 범죄 혐의로 체포되어 징역형을 선고받았다. 지금은 한 보안회사에서 침입 관련 테스트 업무를 하며 기업들의 시스템이 얼마나 침입에 취약한지를 살펴보는 일을 한다. 

MS에서 최초로 SQL injection 공격을 발견한 플라토라는 사람도 현재는 보안업체를 운영하며 주입공격이 지금까지도 빈번히 일어나고 있다는 것을 지켜보고 있다. 

https://www.mantech.com

ManTech | Securing the Future

마지막에 이런 말이 언급되어있다. 플라토가 말한 것으로 보인다. 아마도?
굉장히 깊게 생각하게 해주는 문구였다. 

" 시장에 출시된 소프트웨어는 정말 많습니다. 우리는 관련 제품을 빠르게 진출시켜 고객을 확보해서 투자자에게 만족을 주는 회사를 만들도록 노력하고 있습니다. 보통 무슨일을 추진하려고 할 때 '잠깐만요, 위험해요' 하고 만류하는 건 쉬워요. 그런데 현실을 정확히 바라봐야 합니다. 아마 많은 문제가 있을 겁니다. 좀 수월해 보인다고 다른 사람들의 코드를 훔쳐 쓰거나 보안 시스템을 대충 만드는 관행 같은 것 말이죠. 많은 곳에서 실제로 벌어지는 일입니다. 뭔가 해야 할 것 같으나 대충 그럴싸하게 해 놓는 것이죠. 실제로 문제를 해결하려고는 하지 않고 오히려 핵폭탄급 위험을 방치하는 선택을 하는 경우입니다. 하지만 일단 그 시스템이 가동되면 다시 되돌리기 힘들뿐더러 그 위험도 관리하기 힘들어지죠. 여기서 또 다른 문제가 발생하기 마련입니다.
이 문제는 방화벽 소프트웨어 개발과 관련이 깊습니다. 문제들은 언제나 계속 등장합니다. 그래서 현안이 되는 이슈는 항상 셀 수 없이 많습니다. 따라서 이걸 모두 다 해결하기란 불가능에 가까울지도 모릅니다. "