사이버 범죄자들의 지하 암시장에서 야후의 사용자로 보이는 정보가 거래되고 있다는 소문이 암암리에 퍼지고 있던 가운데, 야후가 공격 피해 사실을 인정하는 발표를 했다. 야후에 따르면 2014년 후반 해외 정부의 후원을 받고 있는 것으로 보이는 해킹 단체에 의해 공격을 당했다고 한다.

여태까지 밝혀진 바, 약 5억 개의 야후 사용자 계정이 도난당한 것으로 보이며, 야후는 현재 사법기관 등과 연계하여 수사를 진행하고 있다. 하필 버라이즌(Verizon)이 야후를 48억 3천만 달러에 인수하고 있는 단계에서 이뤄진 발표다. 버라이즌과 야후의 거래 소식은 지난 7월말에 공식 발표된 바 있다.

야후의 CISO인 밥 로드(Bob Lord)는 블로그 포스트를 통해 “공격자들이 야후 사용자 계정 정보의 일부를 훔쳐내는 데에 성공한 것으로 보인다”며 “여기에는 이름, 이메일 주소, 전화번호, 생년월일, 해시처리 된 암호, 보안 Q&A 등이 포함되어 있을 가능성이 높다”고 밝혔다. 암호 대부분은 Bcrypt로 해시처리가 되어있고, 보안 Q&A는 일부만이 암호화되어 보관된 상태라고도 설명했다. 다행히 지불카드 정보와 은행 계좌 정보는 이번 사건과 무관하다.

“현재 진행되고 있는 수사 내용을 보면, 암호화되지 않은 암호, 지불카드 정보, 은행 계좌 정보는 사이버 범죄자들이 훔쳐가지 않은 것으로 보입니다. 지불 카드 데이터와 은행 계좌 정보는 이번에 범죄자들이 드나든 시스템에 아예 저장되어 있지도 않았습니다.”

이미 야후는 사용자들에게 암호를 바꾸라는 권고 이메일을 발송한 상태다. 다만 “야후 계정을 안전하게 보호하세요”라는 제목만 이메일에 붙어 있을 뿐 아무런 설명도 없다고 한다. 그러나 일부 사용자들은 “계정에서 수상한 행위가 발견되었습니다”라는 내용 안내와 암호를 어떻게 바꾸는지에 대한 설명도 함께 첨부되어 있었다고 말한다. 전자는 해킹사건과 관련이 없는 사용자들을 대상으로 한 이메일, 후자는 5억 건 내에 포함된 사용자를 대상으로 한 이메일인 것으로 보인다. 

이번 사건이 서서히 드러나기 시작한 건 지난 8월 피스(Peace) 혹은 피스 오브 마인드(Peace_of_Mind)라는 해커가 암시장에서 2억건의 야후 사용자 크리덴셜을 팔기 시작하면서부터다. 피스는 더리얼딜(TheRealDeal)이라는 암시장 마켓플레이스의 공동 창립자인 것으로 여겨지며, 야후 외에 링크드인과 마이스페이스 크리덴셜을 지난 5월에도 공개한 바 있다. 야후는 이때 머더보드(Motherboard)라는 매체를 통해 수사를 시작한다고 밝혔다. 

그리고 야후는 이번 주 목요일(현지 시각), 공격 피해 사실을 인정하는 첫 공식발표를 했다. 다만 아직 피스라는 해커가 이번 사건과 연루가 되어 있는지는 확실히 밝혀지지 않은 바다. 또한 8월에 있었던 2억건 유출 사고와 5억건의 유출사고 역시 어떤 관계가 있는지도 모호하다. 이 연결고리가 확실히 드러난다면, 피스라는 인물 뒤에 국가 정부가 뒤에 있을 가능성도 생겨, 사건이 확대될 수도 있다.

물론 지난 8월의 2억 건 정보유출 사건과 이번에 발표한 5억 건의 정보유출 사건은 별개의 것일 수도 있다. 보안 전문업체인 센티넬원(SentinelOne)의 CSO인 예레미야 그로스만(Jeremiah Grossman)은 야후의 이전 정보보안 담당자로, “예를 들어 중국 해커들이 공격자라고 한다면 정보를 암시장에 팔지는 않았을 것”이라며 아직까지 이 두 건의 사고는 별개의 것으로 보인다는 의견을 피력했다. 

국가가 후원하는 사이버 공격 단체는 지정학적 정보, 지적재산, 대형 M&A 관련 기밀을 주로 수집하는 것으로 알려져 있다. 그렇다면 야후를 공격한 자들은 기업이나 조직, 기관의 깊숙한 비밀에까지 접근이 가능한 계정들을 찾아 나섰을 가능성이 높다. 게다가 야후는 위에서 밝혔다시피 버라이즌과 거대 M&A를 진행 중이고, 알리바바와의 관계 역시 특정 정부들에겐 높은 관심사다. 암시장에 파는 것보다 이런 ‘후작업’을 진행할 가능성이 더 높다는 것.

그러나 만약 두 사건이 연결되어 있다면? 보안 전문가들에게 가장 먼저 떠오르는 질문은 아마 “피스라는 해커가 야후 계정 정보를 판다는 소문이 돌고서, 두 달이나 지난 다음에 ‘유출사고가 있었다’는 발표를 한 건 왜인가?”일 것이다. 그렇다고 두 달 동안 계정 보호를 위해 야후가 조치를 딱히 취했다고 볼 수도 없고 말이다. 

디지털 셰도우즈(Digital Shadows)의 부회장인 릭 홀란드(Rick Holland)는 “보통은 사용자들에게 권고부터 하는 게 정석”이라며 “미리 솔직히 말하는 게 후폭풍이 덜하다는 건 사업하는 사람들 다 알고 있는 부분 아니던가”라고 말했다. “또, 피스가 8월부터 야후 크리덴셜을 정말 팔기 시작했다면, 이미 우리는 다른 공격을 경험하고 있지 않았을까요?” 둘 사건의 연관성이 거의 없다는 의미다.

야후는 아직 이번에 발표된 5억건 정보유출 사고에 있어서 공격자들이 어떤 식으로 침투했는지는 자세히 공개하지 않고 있다. 하지만 전문가들은 야후 직원 중 일부가 피싱 공격에 당했을 가능성이 높다는 의견이다. 그로스만은 “야후도 다른 IT 기업들과 마찬가지로 네트워크 크기가 워낙 방대해 공격자들 입장에선 공격할 표적이 굉장히 많은 곳”이라고 설명한다.

이번 사건으로 야후 계정의 로그인 정보(특히 암호)를 다른 인터넷 서비스나 기업 망에 똑같이 사용하고 있던 사용자들이 가장 위험한 상태인 것으로 나타났다. 야후 사용자라면 다른 계정의 로그인 정보를 당장 바꿔야 한다는 것이다. 다행히 야후 사용자의 크리덴셜을 활용한 후속 범죄가 아직은 일어나지 않은 것으로 보인다.