해킹사회를 읽으며...04

해킹사회
찰스 아서
미래의 창

이 글 포스팅은 해킹사회라는 책을 읽고 생각과 내용을 요약 정리하는 글입니다. 자세한 내용은 책을 구매 혹은 대여하여 보시기 바랍니다. ^^
구매 참고: (http://www.yes24.com/Product/Goods/71962870)

이 챕터의 목차 
1. 이메일이 도착했습니다.
2. 모든 것이 공개되다.
3. 그들만의 왕국
4. 배후는 북한?
5. 수입 추락 
6. 정산의 시간 

이번 챕터에서는 SONY픽처스 해킹사건을 다루고 있다. 기존의 해킹방식에서 완전히 벗어난 테러 성격의 해킹이었다.
이 챕터는 그에 대한 내용을 자세히 다루고 있다.

2014년 11월 24일 
추수감사절 휴일전 해당 주의 월요일 이다. 아침 8:15분경.. 소니픽처스에 있는 모든 PC의 전원이 꺼진다. 

소니의 모든 컴퓨터 모니터에는 오른쪽과 같은 화면이 띄어져 있었다고 한다. 
대충 내용은 
경고:
우리는 이미 경고했었고 이건 시작에 불과하다.
우리는 요구 사항이 관철될 때까지 멈추지 않을 것이다. 당신들의 일급 기밀과 비공개 내부 데이터를 확보했으며, 만약 우리의 요구 사항을 들어주지 않는다면 아래의 데이터가 세계에 공개될 것이다. 기한은 11월 24일 오후 11시까지임을 명심하기 바란다. #Hacked by#GOP
이러한 메세지를 띄어놓고 소니의 모든 서버가 막히고 아무것도 할 수 없는 석기시대로 돌아가버리게 된 것이다. 
아래의 데이터 링크는 파일명은 모두 SPEData.zip 이었다. 여기서 SPE는 소니픽처스를 의미하는듯 하고, readme파일에는 10개의 이메일주소가 있었다. 모두 일회용 도메인이었다. 원하는 사람은 그 주소로 접선하여 소니의 데이터를 볼 수 있을 것이란 뜻이었다. 

당시 소니 직원들과 IT부서는 그리 심각한 상황이라고 인식 하지 않은듯하다. 많은 해킹시도가 있었으며, 이 또한 간단한 위협 정도(?)라고 생각한 것이다. 그러나 이번 해킹은 그렇지 않았다. 
당시 공동 회장 에이미 파스칼. 아침 출근때만해도 IT직원들은 아마 하루짜리 해프닝일 것이라고 보고 했다고 한다.
당시 직원들은 SNS를 통해 소니의 해킹사건을 빠르게 퍼트려나갔다. 
직원들을 통제하고 소니에서는 우왕좌왕 하고 있는 사이 해커들은 IT전문지 기자들에게 이메일을 보내기 시작했다. 내부자료를 포함해서 말이다. 

2014년 11월 26일 수요일
출근한 대다수의 소니직원은 이 사태가 곧 해결되리라 생각했다. 그러나 전혀 상황은 그렇지 않았다.
CEO 마이클 린튼은 당시를 회상했다. "하루하고도 반나절이 지나서 전 깨달았습니다. 그 다음주, 최악의 경우 다음다음주까지도 복구가 쉽지 않을 것이라는 사실을요." 

(좌) 소니픽처스 CEO 마이클 린튼 (우) 당시 소니픽처스 공동회장 에이미 파스칼

당시 직원들도 마저도 위의 화면과 같은 우스꽝 스러운 해킹은 옛날 방식이라고 착가하게 한 듯하다. 
뭔가 아마추어 같고 장난인듯 치부할 수도 있었다. 하지만 그들은 점점 무섭게 정보를 유출하고 대중들의 이목을 끄는 방법을 쓰게 된다. 

그렇다면 그들은 어떻게 소니같은 대기업에 내부망에 침투하게 된 것일까?
그 방식은 우스꽝 스러운 화면에 비해 치밀하고 계획적이며, 집단지성의 성향을 가지고 있었다고 한다. 
즉, 조직적이게 움직여서 어떠한 목적을 이루고자 해킹을 한 것이라는 것이다. 

최초 침입자들은 윈도 SMB 프로토콜을 이용하여 목표 대상 컴퓨터에 접근했다고 한다. 
여기서 윈도SMB프로토콜은 공유폴더에 접근하기 위해 프린터, 포트, 네트워크를 이용하는 프로토콜인데, 이를 통해 내부망에 들어간 것이다. 그리고 브루트포스 방식을 사용하였다고 한다. (Brute-force method : 아이디와 비번을 무작위로 입력하여 맞출때까지 계속 시도하는 방식) 이를 통해 그들은 계정을 획득하고 침입하여 멀웨어를 자동으로 설치하게 만들어 놓았다. 
1. 리스닝 임플란트 2. 백도어 3. 프락시 툴 4. 하드드라이브 파괴 툴 5. 디스트럭티브 타깃 클리닝 툴 등등... 
많은 기능들을 추가해서 심어놓았는데, 이 기능들은 오두 삭제하거나 복사 파괴 를 하는 기능들이었다. 

당시 소니의 보안인력은 고작 11명. 
심지어 해킹집단은 돈을 요구하지도 않았다. 
뭔가를 훔쳐가려는 태도도 아니었다. 

완전히 판단이 안가는 해킹집단 덕분에 소니의 직원들은 추수감사절 전에 밀린 업무를 고스란히 두고봐야했다. 이는 곧 소니픽처스의 손해에 연결되는 것이었다. 심지어 당시는 연말이기도 하여서 모든 회계적 업무, 나아가 직원들의 임금관리 등의 마비 되었다. 블랙 추수감사절이었다. 

---

사람들은 레딧을 통해 해킹집단이 퍼트린 그 콘텐츠들을 다운받아 내용을 분석하기 시작했다. 
그 다운받을 용량도 합쳐보면 테라바이트 수준이었다고 한다. 
원래 해킹에서 데이터를 가져가면 많아봐야 기가바이트라고 한다. 티가 안나게 하기 위해서이다. 
그런데 이번 해킹에서 유출된 데이터는 테라바이트 수준이었다고 한다. 

아는 사람은 알겠지만, 바로 영화가 포함되어있었던 것이다. 
<퓨리> <애니> <미스터 터너> <더 인터뷰> 등이다. 
12월 1일 또다른 문서가 공개되었다. 소니 임원들의 연봉이 상세히 공개된 것이다. 
12월 2일에는 직원들의 연봉, 이름, 생일, 주민번호까지 다 공개 되었다. 
이러한 정보들은 해킹 데이터 공유사이트인 페이스트빈(pastebin)에 올라왔고 다수 언론사에도 전송되었다. 

https://www.reddit.com

reddit: the front page of the internet

소니는 이에 FBI와 보안업체들과 협력하여 개인과 집단을 밝혀 내고 재발방지를 약속했다. 그러나 그러한 발표와 다짐이 무섭게 해킹집단은 더욱 가혹해졌다. 

일단 공개된 문서는 논란이 많아졌다. 사람들이 데이터를 분석하여 소니의 내부사항을 파악하니 이상한 것들이 발견 된것이다. 
 엄청난 액수의 임원들의 연봉 (10억원이 넘었다고 한다.) 
 영화기획 및 배우 선정에 있어서 정치적, 인종차별적 성향을 보인 임원들
간단히 보면 이렇지만, 생각보다 더 많은 문제들이 있는 듯했다. 
http://www.hani.co.kr/arti/international/america/677269.html

‘오바마 인종차별’ 논란 소니 픽처스 회장 사임

그야말로 막장이었다. 

그들의 공격방식이 궁금해지기 시작할때 이 책에서 친절히 설명을 해준다. 

요약하자면, 소니의 방어망이 엉망진창이었다고 볼수 있다. 

이런 것을 보면 미국대선의 힐러리의 해킹사건도 비슷하다고 볼 수 있다... 
로돌프 로시니 - 당시 그는 소니픽처스의 자회사인 소니 온라인 업무를 수주했을 때 , 스토리브룩스라는 게임개발회사에서 일을 하고 있었다. 그는 수주를 받았지만 손쉽게 내부망에 들어갈 수 있었다고 한다. 외주 기업의 직원인데 말이다. 
어처구니 없게 드롭박스도 설치했다고 한다... 
그는 이미 2014년 2월에 소니 회사의 전체 네트워크 지도가 페이스빈에 게재되어있다는 사실을 밝혔지만 IT부서에서는 함구 할 것을 강요했다고 한다. 심지어 IT부서 직원들은 페이스빈 접근자체를 막아두어 회사에서 확인도 못했다고 한다. ㅋㅋㅋ IT부서의 손발을 묶어놓은 겪이 아닌가 싶다. 보안을 위해 보안을 막은 듯한???

아무튼,,, 스플린터에 전 직원이 인터뷰한 내용을 보아도 당시 소니의 보안상황은 최악이었다고 한다. 
개인정보를 암호화하지않고 보관하는 등...(이것은 아직도 문제가 되고있다.. 5년이 지났는데도..)
그리고 2013년 하반기에는 소니의 한 외주 업체가 소니 네트워크 상의 의심스러운 데이터 흐름이 있다고 했다.
기가바이트 급의 데이터가 규칙적으로 빠져나가고 있었고 그 당시에는 <더 인터뷰>라는 영화촬영이 완료된 시점이었다고 한다. 
https://splinternews.com/tag/sony-pictures-hack

Sony Pictures Hack Politics, News, Media, and Opinion | Splinter

당시 범무팀 수장이었던 코드니 쉐버그는 2월 12일 동료 3명에게 이메일을 보냈다. 
"소니픽처스 엔터테이먼트 시스템 중 외부의 기업 사용자 계정 2개가 정체불명의 단체에게 해킹을 당한 것으로 보입니다. 그들이 멀웨어를 올렸을 가능성이 높습니다." 
하지만 코트니는 사건을 축소해서 이야기했다. 게다가 브라질의 영화 관련 종사자 759명의 개인정보가 외부로 유출된 것으로 보이지만, 그들에게 법적으로 고지할 의무는 없기에 앞으로도 알리지 않을 계획이라고 했다. 
하지만 더 걱정이 되는 것은 소니픽처스에서 제작된 미디어 상품을 전 세계로 배포하기 위해 사용중이었던 중앙 시스템인 스피릿월드(SpiritWORLD)에서 유출된 데이터였다. 
이것이 무서운 이유는 기존에 있었던 어떠한 멀웨어 방식에도 해당하지 않았기 때문이다. 
당시 해킹사건이후 2주뒤인 12월 10일 FBI사이버국 부국장은 상원위원회에서 이 방식이 약 90%의 방어 시스템을 무력화했을 것이라고 진술했다. 

FBI 사이버국 과 보안업체인 파이어아이 가 소니 해킹사건을 조사했다.

연방수사국 사이버국과 파이어아이팀은 시스템 관리자(root) 권한의 계정이 탈취되었다고 결론을 내렸다. 
즉, 이말은 해커가 소니의 모든 시스템을 뒤흔들수 있는 신적 권한을 가지고 있었다는 것이다.

유출된 데이터양은 약 100테라바이트..이상!
파일 3,800만개가 유출되었다. 소니는 법적인 조치를 했지만 감당안될정도의 양이라 무의미 했다. 
이쯤되서 GOP는 누구인가? 라는 의문을 가지게 된다. 이미 다 털렸고,, 도대체 어떤의도로 해킹을 한것인가.

사람들은 이에 대해 궁금점을 갖기 시작했다. 
위에서 마찬가지로 돈을 요구하지도 비밀스럽게 해킹하여 데이터를 은밀하게 빼내가지도 않았다. 
그냥 깡패처럼 대놓고 데이터를 가져가고 협박을 하다가 모든 데이터를 유포하여 많은 사람들에게 피해를 주었다.
마치 테러와 같았다. 그렇다면 이러한 테러를 누가 계획하고 진행했을까라는 의문이 든 것이다. 

이 책에서 설명하기를 
해킹 공격이 발생할 때마다 이를 설명할 수 있는 옵션은 많지 않다고 한다. 해킹의 배후가 내부자인지, 그 목적이 단순히 문제를 일으키기 위한 것인지 아니면 돈을 목적으로 저지르는 해킹인지 등의 옵션 말이다. 드물게는 국가가 배후로 알려진 간첩 활동도 있다. 이런 3X2 매트릭스 방식의 설명 (아마추어, 용병, 국가 x 내부,외부)은 또 그 나름의 고유한 동기를 가지고 있다. 보통은 해킹이 어떻게 수행된 것인지 그 방식과 방법을 살펴봄으로써 일반적인 의도를 파악할 수 있고 또 어떤 인물이 이 일을 저지른 것인지 추정할 수 있다. 
그러나 이 해킹은 그 어느 것에도 해당되지 않았다. 
이렇게 표현하고 있다. 
조사이후 
 조사당국과 보안업체는 결론지은 듯했다. 의심가는 대상이 북한이라는 것이었다. 
(개인적으로는 당시에 나도 북한의 소행이 맞다고 생각했지만 군생활을 하고나니 겨우 영화 따위로 아무런 목적없이 국가 해킹집단이 나설이유는 없는듯하다. 내 생각에는 북한을 추종하는 자가 행한 것이 맞지 않나 싶다.) 
미국 사이버국과 보안업체는 나름의 논리로 북한의 소행으로 결론지는 것이 책에 나온다. 
그러나 저자는 이러한 생각이 아닐수도 있다고 의문을 던지기도 한다. 

물론 이로인해 소니는 많은 피해를 보았고 <더 인터뷰>라는 영화는 추락했다. 
하지만 한 핀란드계 보안회사 애프시큐어(F-secure) 수석 연구원인 미코 히포넨은 자신을 포한한 업계 종사자들은 미 정부가 이 해킹 사건이 있자마자 북한을 배후로 한것이 의문이라고 했다한다. 
이유는 해킹의 공격 형태도 일반적이지 않았다는 것이다. 
이러한 의문들이 발생하자 정보당국과 보안업체들은 구체적인 근거를 제시하기 시작했고 어느정도 설득력이있었지만 명확한 증거는 아니었다고 한다. 

결론적으로는 추정일뿐 정답은 아니었다. 아무도 모른다는 것이다.
저자는 자체적으로 북한이라고 결론을 짔는듯하다. 그러면서 북한이 사실이라면 그들의 해킹실력은 상당하다는 것을 온세계에 보여준거나 다름없다고 한다. 

이렇게 이 챕터는 끝이난다. 

개인적으로 북한의 배후에는 찬성에 가깝지만 100% 북한정부의 소행으로는 생각하지 않는다. 
북한은 그리 바보가 아니라는 것을 나는 배웠기 때문이다. (군생활을 통해) 
아무튼 무서운 나라인만큼 해킹도 무지 무서운 것 같다. 

왜 사이버테러가 무서운지 알게 된 챕터이다. 
https://youtu.be/oR6PsWfveoo

https://www.youtube.com/watch?v=1iFoL5iT5WQ