때는 2017년 quifax(에퀴팩스) 의 대규모 해킹 사건이 발생했다
에퀴팩스는 미국의 신용 평가 기관중 하나로 개인 신용정보 를 수집하고 제공하는 서비스를 하는 회사이기 때문에 굉장히 많은 개인 정보들을 가지고 있다

해킹 사건이 발생한 이유

처음의 시작

에퀴팩스가 수천 개의 다른 웹 사이트와 함께 사용되는
엔터프라이즈 JAVA 애플리케이션을 작성하기 위한 오픈소스 개발 프레임워크인
아파치 스트럿츠(Apache Struts) 에서 CVE-2017-5638 이라는 취약점이 발견 되었는데

이는 공격자가 콘텐츠 유형 헤더에 악성코드가 삽입된 HTTP 요청을 보내면 스트럿츠가 해당 코드를 실행하도록 속이고 시스템을 열면 스트럿처는 추가 침입을 위해 계속해서 실행이 되는 방식이다
에퀴팩스가 올바른 도메인으로 안내를 하지 못해 나온 문제이며

시스템이 서로 적절하게 분할되어 있지 않은 에퀴팩스의 웹 포털의 다른 서버, 처음은 소비자 불만 웹 포털로 이동하며 이러한 과정에서 일반 텍스트로 저장된 유저들의 이름과 비밀번호를 유출시켰고 그로인해 76일 동안 1억 4300만의 유저 데이터가 유출 되었다고 한다

문제점

내부 트래픽(서버에서 전송되어지는 총 전송량) 에 암호화가 필요한데 이 암호화 과정에는 공개키 인증서를 사용할 수 있게 서드파티를 구입해 매년 갱신을 해야 하는데 에퀴팩스는 10개월 전에 인증서 중 하나를 갱신하지 않아 암호화를 하지 못했다
에퀴팩스는 이 문제를 보안 컨설팅 업체의 패치와 시스템 구성의 경고를 들었음에도 방치했고

그로인해 해킹범들은 기간동안 탐지되지 않은 채 데이터를 더 많이 빼낼 수 있었다고 한다
(한 달이 넘은 시간동안 에퀴팩스 측에서는 이 사실을 공개하지 않고 최고 경영진들은 주식을 팔아넘겼다고 한다)

즉, 알면서도 방치

사건 후 보안 업그레이드를 위해 쓴 금액14억 달러

사고추적

정보보안 전문가들은 다크 웹 사이트를 감시해 중국 정부 해커들에 의해 해킹을 당했다는 주장을 내세웠고
스트럿츠 첫번째 취약점이 공개되고 패치된 시점이 불과며칠 밖에 되지 않아
이 취약점을 이용하기 위해 업데이트된 해킹키트가 쉽게 구할 수 있는 것이고 이것을 사용한 것으로 보아 경험이 부족한 해커의 소행이라 파악했다
해커는 스캐팅 도구(해킹의 가장 기초가 되는 단계로 해킹 대상의 정보와 취약점 파악을 하는 구간)
를 이용해 패치되지 않은 에퀴팩스 서버를 발견하였고 그들은 에퀴팩스가 얼마나 가치가 있는지 판단하지 못해 그 이상의 성과는 거두지 못했다고 한다

이 사건으로 얻은 교훈

기본을 바로 잡아라

무적의 네트워크란 있을 수 없다
그렇기 때문에 항상 보안 인증서 갱신이나, 취약점들이 나오면 빠른 패치가 중요하다