해커스랩

미 하원, 연방인사관리처(OPM) 해킹사고 조사 보고서 발표

청문회에서 마이크 터너 의원의 질문에 답하는 OPM 도나 세이모어

[mud님 曰] 나온지 좀 되었고 분량도 241 페이지나 되지만 박진감 넘치는 내용은 마치 보안 무협지를 읽는 듯 가슴이 뛰는 것을 실로 오랜만에 느껴 봤습니다! ^^


미 하원은 연방인사관리처(OPM) 해킹사고 진상을 밝히기 위하여 1년여의 조사를 마치고 지난 9월 7일 보고서를 발표했다. 미 하원 정부개혁감독위원회는 연방 CIO에게 제출한 보고서를 통해 OPM은 그동안 감사를 통해 여러 차례 지적받았던 사항들을 개선하지 않아서 사고를 당했다는 결론을 내렸다. 그동안 감사에서 지적된 사항들을 간단히 요약해면 다음과 같다:

보고서에 작성된 사고 개요를 간단히 요약하면 다음과 같다.

사건 개요
OPM 시스템이 해킹당해 전∙현직 공무원 420만 명 개인정보, 2,160만 명의 신원조회 정보, 560만 명의 지문 정보가 유출 되었음이 2015.6월 최초 발견됨

공격 개요

사고 영향
도난당한 신원조회 정보의 가치는 아무리 강조해도 지나침이 없음. 지문 정보 분실과 더불어 최소한 1세대 기간 동안 미국의 첩보 활동에 지장을 초래할 것

사고 원인
OPM은 중요한 정보를 다루고 있음에도 불구하고 적절한 보안을 적용하지 않았으며 수차례의 감사 지적사항도 불이행
– 해커가 민감 데이터를 노린다는 것을 처음 알았을 때 필요한 기본 보안 통재를 구현하고 첨단 보안 툴을 신속 적용했다면 데이터 도난을 지연∙방지∙완화 할 수 있었을 것

결론
수년간의 감사 지적에도 불구하고 OPM은 적절한 보안 기본 조치를 취하지 않은 바 이는 기술적 문제가 아니라 보안 문화와 리더십 문제 (그럼에도 불구하고 OPM의 쇄신에 기대를 가져 본다는 말로 맺음)

보고서는 OPM과 연방정부 부처와 기관들에게 OPM 사고를 교훈삼아 다음을 권고하고 있다.

  1. IT 보안 담당 CIO에게 권한, 책임 부여, 실력을 갖추고 있는지 확인, 통상 2년인 CIO 임기를 최소 5년으로 연장
  2.  ‘Zero-Trust 모델’로 연방 정보 보안 재정비 (‘Zero-Trust 모델’이란 네트워크 내부 사용자는 아무도 믿어서는 안된다는 원칙하에 사용자 통제를 강화하는 정책을 말한다)
  3. 사회보장번호의 이용을 최대한 축소
  4. 정부에 새로운 시스템을 사용하거나, 시스템을 변경할 때 수행해야 하는 보안 평가 준수 (OPM은 보안평가 대상 시스템들을 평가를 받지 않고 그대로 사용)
  5. 현재 신원조회 시스템을 구현 중인 국방부 관련자에게 책임과 권한 대폭 부여
  6. 정보보안에 장애가 되는 요소 제거 (연방정부에는 보안툴을 사용하려면 노조나 프로그램 관리자 동의를 구해야 하는 등 복잡한 절차)
  7. 연방 웹사이트 보안 강화, 침해 발생 시 통보
  8. 공무원 지원 프로그램을 통한 재무교육과 카운슬링
  9. 기관마다 보안 제품 및 서비스를 개별 구매하는 현 정책을 개선해 사이버 사고 시 다른 기관들의 동일 사고를 에방하고 가격 경쟁력 확보
  10. 정부가 구매하는 전 제품과 서비스에 대하여 사이버보안 명확하게 적용
  11. 낡은 시스템 현대화 (연방정부는 매년 890억 달러 이상을 IT에 지출하는데 그 중 75% 이상은 오래된 IT 시스템 유지 보수)
  12. IT 보안 전문가 연봉을 인상해 우수 사이버보안 인력 확보
  13. 사이버보안 전문가 모집, 교육, 채용 제도 개선

보고서에 대하여 OPM 국장대리 Beth Cobert는 비록 이견이 많지만 세세한 조사와 권고는 고맙다며 OPM은 현재 다음과 같은 조치를 취하고 있다고 설명했다:

보고서는 OPM 해킹사고를 처음 발견헤 즌 미국 보안회사 CyTech가 아직도 OPM으로부터 대금 결제를 받지 못한 것은 위법이라고 결론지었다. CyTech는 2015.4.21일 OPM에서 자사 보안툴 CyFIR를 시연하는 과정에서 OPM 시스템이 맬웨어에 감염된 것을 발견해 OPM에 이를 알렸고, OPM의 요청으로 5월 1일까지 OPM에서 후속 작업에 참여했었다.

이후 CyTech가 OPM에 대금 결제를 요청하자 OPM은 CyTech가 일했다는 것을 증명할 서류를 요구했다. 그런데 CyTech는 당시 비상 구두 계약(Emergency Verbal Purchase Order) 조건으로 일했기 때문에 서면 계약서가 없으며, 유일한 증거였던 CyFIR 서버에 보관된 자료는 OPM 측에서 일방적으로 삭제한 상태였다.

보고서에 관한 보안 전문가들의 의견은 다음과 같다. 먼저 미국 보안회사 Ntrepid CEO Richard Helms는 보고서에 OPM 사고 후 피해자에게 제공된 신용정보조회 서비스 효과에 대한 언급이 없음을 지적했다. OPM 사고는 신용카드 도난 사고가 아니라 국가 안보 담당 공무원 정보를 노린 외국 정부의 공격이기 때문에 정부가 수백만 달러를 들인 신용정보조회 서비스는 백해무익 하다는 것이다.

Securonix의 수석과학자 Igor Baikalov는 보안 통제, 첨단 보안툴 사용, 안전 조치를 취했다면 피해를 줄일 수 있었을 거라는 보고서 제안에 대하여 이견을 제시했다. 그간의 OPM 대상 보안 감사 결과는 OPM이 정보보안 원칙, 표준, 정책을 전면 무시했음을 보여주며 이는 시스템이 낡았다거나 어떤 기술을 적용했는지 여부와는 별개 사안이라는 것. Ntrepid의 Lance Cottrell은 보고서가 다단계 인증을 권한 것에 대하여 다단계 인증을 적용해도 로그인 정보를 알아낼 수 있음을 지적했다.