FBI ‘러시아 정부 배후설’ 배제…범인 오리무중

올해 여름 처음 알려진 미국 은행 JP모건체이스에 대한 해킹은 시스템 관리자들이 이중암호 로그인 체계를 적용하면서 일부 서버를 빠뜨리는 바람에 일어난 것으로 드러났다.

그간 파다했던 ‘러시아 정부 배후설’은 근거가 없다는 미국 연방수사국(FBI)의 판단이 나왔으나, 범인의 정체나 동기는 여전히 오리무중이다.

미국 일간지 뉴욕타임스(NYT)는 이번 사건 조사와 수사에 관한 설명을 들은 익명 취재원들을 인용해 23일(현지시간) 이렇게 전했다.

보도에 따르면 지난봄 해커들이 이 은행 임직원의 로그인 이름과 암호를 훔친 것이 공격의 시작이었다.

이것뿐이었다면 자그마치 8천300만 가구의 개인정보가 유출되는 일은 없었을 것이지만, 은행 측의 허술한 서버 관리가 문제를 크게 키웠다.

대부분의 대형 은행은 보안이 필요한 전산 시스템에는 로그인 이름과 암호뿐만 아니라 원타임패스워드(OTP)를 함께 입력하도록 하는 ‘이중 암호’ 시스템을 채택하고 있다.

그런데 JP모건체이스의 보안 담당 팀은 네트워크 서버 중 하나에 이중 암호 시스템을 적용하지 않은 채 내버려 두고 있었고, 이 때문에 은행 전산망에 해커가 접근해 정보를 빼낼 수 있었다는 것이다.

이번 패치가 없는 ‘제로 데이’ 취약점을 이용하거나 복잡한 악성 코드를 심는 방식으로 이뤄진 것이 아니었다.

다시 말해 해커가 기술적 수단을 동원해서 취약점을 공격한 것이 아니라, 암호 관리와 시스템 보안 조치가 허술한 틈을 타고 매우 간단하게 침입했다는 것이다.

이번 사건이 8월 블룸버그의 첫 보도로 알려진 직후 우크라이나 사태로 서방 측과 갈등을 빚어 온 러시아 정부가 배후에 있으리라는 추측이 우세했으나, 조사와 수사가 진행되면서 올해 10월께 이런 관측이 퇴조했고 FBI도 공식으로 러시아 정부를 용의 선상에서 배제했다.

연합뉴스