SW 취약점으로 인한 모건 스탠리 고객 정보 유출

최근 에세이가 너무 정보 유출 사례에 집중되다 보니, 계속해서 비슷한 내용의 글을 쓰고 있는 것 같이 느껴지는데요. 글을 쓰는 저도 재미가 없을 정도인데 꾸준히 제 글을 읽어주시는 분들은 지겹지 않으실까 걱정됩니다. 전혀 다른 내용의 사례들을 찾아보고 있긴 하지만, 요즘은 계속해서 정보 유출에 관련된 이슈들만 올라와서 어쩔 수 없는 노릇입니다. 다음부터는 다시 과거 이슈들에서 괜찮은 사례들을 찾아 유용한 내용들을 말씀드릴 수 있도록 하겠습니다. 그럼 오늘은 모건 스탠리(Morgan Stanley)라는 세계에서 가장 큰 투자은행에서 발생한 고객 정보 유출 사례에 대해 설명드려보도록 하죠.

​

모건 스탠리에서는 내부적으로 액셀리온(Accellion) 기업의 FTA(File Transfer Appliacne)라는 소프트웨어를 사용하고 있습니다. FTA는 저희가 한번 쯤 사용해봤을 만한 파일질라(FileZilla)같은 파일 전송 및 공유 프로그램으로 생각하시면 되는데요. 이 프로그램은 굉장히 오래되었기 때문에 꽤 많은 취약점들을 가지고 있었죠. 문제는 워낙 FTA를 사용하는 기업들이 많았기 때문에 이미 많은 피해가 있었다는 점인데요. 이번 사례도 해커들이 FTA의 취약점들 중 하나를 사용해서 내부 정보를 유출한 것이죠.

​

아래의 기사에서는 취약점에 대한 내용이 나와있지는 않지만, 최근 FTA에서 패치한 내역을 보면 SQL 인젝션이나 OS 명령어 실행 같은 취약점들이 꽤 많이 있었던 것으로 보이는데요. 심지어 모건 스탠리에서는 이번에 유출된 정보가 암호화된 상태로 보관되어 있었다고 했지만, 해커가 FTA 취약점을 통해 복호화 키를 얻었다고 합니다. 정확한 사실은 알 수 없지만, FTA를 통해 파일을 서버에 올리면 내부적으로 암호화 및 복호화해주는 모듈이 있을테고, 여기에 사용되는 암호화 키를 제대로 관리하지 않아서 발생한 문제가 아닐지..라는 생각을 해봅니다.

 

서드파티 해킹 사고 통해 고객 정보 유출된 모건 스탠리

 

위에서 말씀드린 암호화 키 관리는 보안을 공부하신 분들이라면 다 아시겠지만, 국내에서만 해도 개인정보 암호화에 대한 부분은 정보통신망법과 같은 법률에서 어떻게 해야하는지 명시하고 있죠. 예를 들면 암호화 키는 암호화된 데이터가 존재하는 곳과 물리적으로 분리된 곳에 저장해야한다 등.. 꽤 많은 사항들이 존재합니다. 하지만 많은 곳에서 이런 사항들을 다 지키면서 프로그램을 개발한 것은 아니기 때문에, 개인정보가 유출되면 아무리 암호화되어 있다고 해도 무용지물인 경우가 많죠. 특히나 개발한지 오래된 레거시(Legacy) 프로그램들에서는 이런 취약점들이 무수히 많지 않을까 생각됩니다. 오늘은 간단히 기술적인 내용을 포함해 정보 유출 사례에 대해 설명드렸고요. 이번 에세이는 여기서 마치도록 하겠습니다. 감사합니다.