18 October 2024
라인 경영권 문제로 불거진 한일간 문제가 채 꺼지기도 전에 이번엔 일본에서 대형 보안 사고가 발생, 대량의 데이터가 유출되는 참사가 일어났습니다. 일본 종합 엔터테인먼트 그룹 카도카와(KADOKAWA)가 해킹 피해를 당해 핵심 데이터 1.5TB 가량이 유출, 심지어는 일반 대중에 공개되었는데요. 이번 해킹은 지난 6월 8일 발생한 DDOS 공격으로 인해 시작되었습니다.
DDOS 공격으로 드러난 보안 취약점
이 DDOS 공격 과정에서 '무단 로그인 시도'가 급증했었는데요. 업계에서는 유출된 계정 정보를 이용해 타 서비스에 불법 로그인을 시도하는 공격인 것 같다는 분석이 나오기도 했습니다. 무단 로그인 시도를 겪은 유저들은 해당 시도가 급증한 시기와 카도카와가 해킹 공격을 당한 시기가 일치한다며, 둘 사이에 연관성이 있다는 주장을 펼치고 있습니다.
아직까지 어떤 방식으로 침입해 들어갔는지에 대한 기술적 분석이 다 나오진 않았으나, 결과적으로 카도카와의 모든 데이터는 해커들에게 장악 당했습니다.
이날 있었던 DDOS 공격 과정에서 카도카와의 데이터베이스 관리가 허술한 점을 해킹 조직이 발견하게 되었습니다. 해킹하는 과정에서 모든 DB의 관리자 비밀번호가 통일되어 있었던 점과 오랜 기간 업데이트되지 않은 채 암호화도 적용되지 않은 DBMS를 사용하고 있었고, 거기다 수많은 보안 취약점까지 노출하고 있던 버전이라는 점, 그리고 DDOS 공격에 눈이 멀어 추가적인 타 시스템에 대한 공격 시도를 제대로 모니터링조차 하지 않았던 문제점이 드러났습니다.
이어진 랜섬웨어 공격으로 인해 ニコニコサ-ビス(니코니코서비스), KADOKAWA 오피셜 사이트, エビテン(에비텐), Dwango, 카도카와가 운영하는 학교 등 카도카와의 여러 서비스가 잇따라 중단되었습니다. 이번 랜섬웨어와 관련해 블랙수트(BlackSuit)라는 랜섬웨어 조직은 자신들의 소행이라고 다크웹에 공지한 것으로 알려졌는데요. 해당 조직은 예전에 한국의 골프존을 해킹, 200만명이 넘는 사용자의 개인정보를 유출한 적도 있는 유명한 해킹 조직입니다.
핵심 데이터 유출로 이어진 랜섬웨어 공격
이들은 랜섬웨어 공격으로 서비스를 마비시키면서 1.5TB에 달하는 핵심 데이터를 유출했습니다. 블랙수트는 카도카와와의 협상에서 두 차례의 몸값을 요구했는데요. 카도카와는 1차적으로 298만 달러를 지급했으나 추가적인 825만 달러를 요구하는 해킹 그룹의 요구를 도저히 맞출 수 없었습니다.
블랙수트는 7월 1일을 기한으로 내세우며 자신들이 확보한 니코니코동화 회원들의 개인 정보와 댓글 등을 공개하겠다는 협박을 하면서 카도카와 사장 나츠노 고의 X(舊 트위터) 계정을 탈취하고 내부 정보를 일부 공개했습니다. 이 과정에서 카도카와측은 몸값 요구에 응했냐는 질문에 아무런 응답을 하지 않았으나, 정작 가와카미 미츠오 이사가 회사 주식을 대량으로 매각, 급전을 확보하는 등의 어설픈 대처가 드러나면서 빈축을 사기도 했습니다.
해당 정보 목록은 충격적이었습니다. 계약서, 다양한 법률 관련 문서, 플랫폼 이용자들 데이터를 시작으로 직원들 데이터, 향후 사업 계획안 등 핵심 기업 자료, 프로젝트에 사용된 각종 소스 코드, 신용카드 결제 목록을 비롯한 각종 파이낸스 데이터, 그 외 내부 기밀 정보들이었고 심지어는 협박을 위한 데이터 샘플로 카도카와 사장의 운전면허증을 공개하기도 했습니다.
일각에선 엘든 링, 소울 시리즈로 유명한 카도카와의 자회사인 프롬 소프트웨어의 내부 데이터까지 공개되는 것 아니냐는 우려가 있었으나, 카도카와측은 이에 대해선 어떠한 입장도 밝히지 않고 있습니다. 실제 과거 2023년 락스타 게임즈와 인섬니악이 랜섬웨어 공격을 통한 내부 정보 유출로 큰 피해를 본 사례가 있었기 때문에 더욱 우려가 되었죠.
데이터 센터 자체를 감염시켜 민감한 개인 정보 대량 유출
이번 해킹 사건에서 주목할만한 점은 카도카와가 자체적인 프라이빗 클라우드 서비스를 사용하고 있었음에도 불구하고 데이터센터 자체가 랜섬웨어에 감염되어 모든 서비스가 중단되었다는 것인데요. 모든 가상머신이 장악되다보니 카도카와측에서는 클라우드 서버를 종료시켜 대응하려 했으나 공격자가 또 다른 곳에서 종료된 서버를 재기동, 감염을 확산시키기도 했습니다.
카도카와측은 추가 피해를 막기 위해 내부 인트라넷을 포함한 업무 시스템을 정지시키는 한편 가부키쵸에 있는 오피스로의 출근도 모조리 금지시켰으나 공격을 완전히 막을 수는 없었습니다.
문제는 7월 2일자로 공개 유출된 각종 데이터였습니다. Dwango 학원측은 7월 3일 공지를 통해 "교육 콘텐츠를 제공하는 학교법인 카도카와드완고학원의 개인정보 유출이 확인됐다"며 "유출된 개인정보는 N중등부·N고등학교·S고등학교 재학생과 졸업생, 학부모 중 일부의 개인정보, 당사가 거래하는 일부 창작자와 개인사업자 및 법인과의 계약서, 악곡 수익화 서비스를 이용하고 있는 일부 크리에이터, 일부 전직 직원이 운영하는 회사 정보 등"이라고 말했습니다.
이어 "사내 정보로는 계약직, 파견직, 아르바이트, 일부 퇴직자를 포함한 전 종업원의 개인정보, 관련 회사 일부 직원의 개인정보, 법무관련 서류를 포함한 사내 문서 등도 유출된 것으로 확인됐다"고 밝혔는데요.
건조한 공지와 달리 실상은 조금 더 충격적이었습니다. Dwango 직원들의 신용카드 청구 내역, 쇼핑하는 마트 매장명, 이용하는 IC명까지 상세히 나와있었는데요. 직원들의 사생활이 여과없이 프로파일링 되고 있었다는 폭로가 나왔습니다.
거기다 또 다른 티켓 사이트 유출 자료에서는 라이브 티켓 판매량, 수익, 수수료, 소속사 송금 등 다양한 개인정보가 노출되는 한편 회사에 입사 지원한 인원의 이름, 출신학교, 전공, 코멘트가 노출되었고, 심지어 카도카와드완고학원(중/고등학교)에서 보관하고 있던 학생들의 사생활과 신상명세, 성적 관련 자료, 생활기록부 자료가지 모조리 노출되었습니다.
이 와중에 니코니코서비스를 이용하며 익명으로 활동하던 버추얼 스트리머(버튜버)들의 실명, 주소 기록까지 노출되면서 여성 스트리머에게 스토킹이 일어나는 등의 사고도 발생했습니다.
민감 데이터 유출에 따른 후폭풍
데이터들이 공개되면서 해킹과는 별개로 카도카와측이 이런 민감한 데이터를 과도한 범위로 보유하고 있는것이 옳은가에 대해 곳곳에서 갑론을박이 일어나고 있는 상태입니다. 적절한 조치조차 하지 않은 채 면접자들이나 학생들에 대해 '못생겼다', '역겹다'와 같은 폭언에 가까운 코멘트를 했었다는 사실도 죄다 노출되었기 때문입니다.
거기다 카드번호나 마이넘버카드(일본의 주민등록증)과 같은 초민감정보에 대해서는 암호화나 마스킹처리조차 하지 않은 채 원문 데이터를 그대로 보존하고 있는 것도 확인되었습니다.
보안업계에서는 '라인 사건은 여기에 비하면 피해 규모가 작다 못해 없는 것'이라고 언급했습니다. 최초 라인에서 발생한 보안 취약점도 일본 업체가 원인이었는데요. 지난 24일 네이버가 국회 과학기술방송통신위원장인 최민희 더불어민주당 의원실에 제출한 설명을 보면, 네이버 클라우드는 일본 기업 트렌드마이크로에서 개발한 보안솔루션을 사용하고 있고, 여기서 악성코드 감염이 이루어졌다고 분석되었습니다.
이 회사의 보안솔루션은 트렌드마이크로가 추천한 한국 내 파트너사와 계약을 맺는 방식으로만 사용할 수 있는데, 라인야후의 개인정보 유출로 이어진 악성코드 감염은 트렌드마이크로가 지정한 파트너사 직원 피시(PC)에서 이뤄졌다는 것입니다. 네이버 관계자는 최 위원장실에 "네이버 클라우드가 트렌드마이크로가 추천한 파트너사와 계약을 맺어 트렌드마이크로의 보안솔루션을 이용하고 유지 보수까지 맡기는 구조"라고 설명했습니다.
이에 최 위원장은 "라인 개인정보 유출 사건은 운영을 책임진 네이버 쪽 잘못을 지적하지 않을 순 없지만, 실제로는 보안 솔루션을 담당한 일본 기업과 그 파트너사의 보안에 구멍이 생겨서 벌어진 것"이라며 "그런데도 일본 정부가 노골적인 네이버 몰아내기로 기업활동의 자유를 침해하고 있다"고 말하기도 했습니다. 사실이라면 보안을 빌미로 라인을 인수하려고 드는 일본정부와 일본 보안업계의 민낯을 제대로 드러내는 셈이 되는 것이라 많은 우려를 낳고 있습니다.
해외 소송에서 필수적인 e디스커버리 진행 시 불가피하게 기업의 중요 정보와 데이터를 다루게 됩니다. 국내 데이터 센터를 보유한 기업이라면 민감 정보의 해외 유출을 방지할 수 있고 데이터 보안과 관리 측면에서도 매우 유리합니다.
인텔렉추얼데이터는 국내 e디스커버리 전문 기업으로 전자증거개시의 시작부터 끝까지 모든 절차에 대한 기술적인 지원과 발생 가능한 돌발 상황에 대한 대처 경험, 뛰어난 보안 시스템으로 소송 정보 보호에 최선을 다하고 있습니다. e디스커버리가 필요한 기업이라면 지금 바로 인텔렉추얼데이터의 전문가들을 만나보세요!