1P by GN⁺ | ★ favorite | 댓글 1개
  • AT&T의 신규 데이터 유출은 거의 모든 고객의 통화·문자 관계 기록에 영향을 줬고, 약 1억 1천만 명에게 통지가 이뤄질 예정임
  • 도난 데이터는 2022년 5월 1일~10월 31일의 통화·문자 메타데이터가 중심이며, 일부 고객은 2023년 1월 2일 기록도 포함됨
  • 메시지 내용이나 정확한 시각·날짜는 빠졌지만, 누가 누구와 연락했는지와 통화량·통화 시간, 일부 셀 사이트 식별번호가 노출됨
  • 이번 사고는 AT&T의 3월 보안 사고와 별개이며, Snowflake 고객 계정을 겨냥한 최근 데이터 절도 사태와 연결됨
  • Snowflake 계정 보호에서 다중 인증 미사용이 쟁점이 됐고, Mandiant는 약 165개 고객 계정에서 상당한 데이터 절도를 확인함

AT&T에서 유출된 전화 기록의 범위

  • AT&T는 이번 사고로 약 1억 1천만 명에게 통지할 예정임
  • 도난 데이터에는 AT&T 휴대전화·유선전화 고객의 전화번호와 통화·문자 기록이 포함됨
    • 대상 기간은 2022년 5월 1일부터 2022년 10월 31일까지 6개월임
    • 일부 고객은 2023년 1월 2일의 더 최근 기록도 포함되지만, 해당 고객 수는 공개되지 않음
  • AT&T 네트워크를 사용하는 다른 이동통신사 고객의 통화 기록도 유출 데이터에 들어감
  • 유출 데이터에는 통화나 문자 본문이 포함되지 않음
    • 특정 AT&T 번호가 어떤 번호와 통화하거나 문자를 주고받았는지 확인할 수 있음
    • 고객의 총 통화·문자 수와 통화 시간이 포함됨
    • 통화·문자의 시간이나 날짜는 포함되지 않음
  • 일부 기록에는 전화 통화나 문자 메시지와 연결된 셀 사이트 식별번호가 포함됨
    • 이 정보로 통화가 이뤄졌거나 문자가 전송된 대략적 위치를 파악할 수 있음
  • AT&T는 고객용 정보 페이지규제기관 제출 문서를 통해 사고를 공개함

Snowflake 계정 절도와 수사 상황

  • AT&T는 4월 19일 이번 데이터 유출을 인지했으며, 3월에 공개한 이전 보안 사고와는 관련이 없다고 선을 그음
  • 최신 고객 기록은 Snowflake 고객을 겨냥한 최근 데이터 절도 사태 중 Snowflake에서 도난당한 것으로 확인됨
    • Snowflake는 기업 고객이 클라우드에서 대량의 고객 데이터를 분석할 수 있게 하는 서비스임
    • AT&T가 고객 데이터를 Snowflake에 저장한 이유는 공개되지 않음
  • 최근 몇 주 사이 Ticketmaster와 LendingTree 자회사 QuoteWizard 등도 Snowflake에서 데이터가 도난당한 사실을 확인함
  • Snowflake는 계정 보호에 다중 인증을 사용하지 않은 고객에게 데이터 절도 책임이 있다고 봄
    • Snowflake는 해당 보안 기능을 고객에게 강제하거나 필수로 요구하지 않았음
    • Snowflake가 고객 통지를 지원하기 위해 부른 Mandiant는 약 165개 Snowflake 고객 계정에서 상당한 양의 데이터가 도난당했다고 확인함
  • Mandiant는 이번 침해를 UNC5537로 추적되는 아직 분류되지 않은 사이버범죄 그룹에 귀속함
    • 해당 해커들은 금전적 동기를 가진 것으로 평가됨
    • 구성원은 북미에 있으며, 최소 1명은 터키에 있음
  • Snowflake 계정 절도의 일부 기업 피해자 데이터는 알려진 사이버범죄 포럼에 게시됐지만, AT&T는 자사 데이터가 현재 공개적으로 이용 가능하다고 보지 않음
  • AT&T는 법 집행기관과 협력해 관련 사이버범죄자를 체포하고 있으며, 최소 1명이 체포됨
    • 체포된 개인은 AT&T 직원이 아님
    • FBI는 해당 체포에 대해 논평하지 않음
  • FBI는 AT&T가 침해 사실을 신고한 뒤 AT&T, FBI, 법무부가 두 차례 고객·대중 통지를 지연하기로 합의했다고 확인함
    • 이유는 국가안보 및 공공안전에 대한 잠재적 위험이었음
    • 세 기관은 지연 절차 동안 위협 정보를 공유해 FBI 수사와 AT&T의 사고 대응을 지원함
  • 이번 사고는 AT&T가 올해 공개한 두 번째 보안 사고임
    • 앞서 고객 계정 정보 캐시가 사이버범죄 포럼에 게시된 뒤 AT&T는 수백만 고객의 계정 암호를 재설정해야 했음
    • 당시 캐시에는 AT&T 고객 계정 접근용 암호화된 패스코드가 포함됐고, 보안 연구자는 해당 패스코드가 쉽게 복호화될 수 있다고 봄

댓글과 토론

Hacker News 의견들
  • AT&T 고객이 1억 1천만 명인데, 침입 때문에 고객마다 계정 관리에 1분만 더 써도 총 209년 이상의 시간이 사라지는 셈임
    데이터 유출 관련 법은 훨씬 더 강해야 함. 유출에 실질적 결과가 거의 없다면 회사들은 데이터 보안에 최소한만 투자할 것임
    법인격을 뚫고 과실로 이런 일을 가능하게 한 사람을 형사 기소하거나, 경영진과 주주가 실제 타격을 받을 만큼 벌금을 크게 매겨야 함

    • AT&T 같은 기업이 그런 데이터를 재미로 모으는 게 아니라는 점을 아무도 짚지 않는 게 놀라움. 비용도 많이 들지만, 정부가 법적으로 요구하기 때문임
      모두 회사를 비난하지만, 정부가 내 모든 통화 활동 기록을 갖는 데 아무렇지 않은 게 이상하다고 생각해본 적은 없는지 모르겠음. 예전 같으면 이런 건 디스토피아적 감시국가라고 불렀을 것임
    • 실제로 뭔가를 고치려면 주주에게 타격을 주는 수밖에 없음. 부자들이 돈을 잃어서 C레벨과 이사회가 책임을 마주하게 되기 전까지는 서로 등을 두드리며 보너스를 챙길 것임
    • “이 일을 가능하게 한 과실”의 당사자는 아마 평범한 실무 직원일 가능성이 큼. 바라던 게 뭔지 조심해야 함
      내가 모르는 취약점 때문에 내 소프트웨어가 뚫렸다고 법적 책임을 지고 싶지는 않음
      합리적인 첫 단계는 데이터 보안에 대한 제3자 기준, 감사, 인증을 만들고, 프라이버시와 보안을 중시하는 소비자가 회사가 무엇을 하는지 알게 하는 것일 수 있음. 소비자가 거기서 가치를 느끼면 그 회사를 더 선호할 것이고 다른 회사도 따라올 수 있음
    • 이런 유출을 막았을 법은 통신사가 고객 데이터를 판매하는 것을 불법으로 만드는 법임. AT&T가 모든 데이터를 Snowflake에 넣은 이유는 고객 위치와 사회적 관계망을 마케터에게 팔기 위해서였음
      이게 아직 불법이 아니라는 게 도저히 납득되지 않음
    • 데이터 유출을 당하면 10년 동안 그 종류의 데이터를 수집은커녕 보관하거나 판매할 수도 없고, 이 규칙이 데이터 수집을 요구하는 법보다 우선하는 세상을 상상해보면 됨
      AT&T는 하룻밤 사이에 거의 종단간 암호화 서비스와 비슷해질 것임
      회선 자체가 암호화되지는 않으니 NSA는 여전히 도청하겠지만, 적어도 AT&T 데이터센터에는 부트 드라이브, SMS 메시지 큐, 승인된 SIM과 전화번호 매핑을 제외하면 변경 가능한 저장소가 0이 될 수 있음
      요즘 시대에 왜 통화 기록을 계속 유지하는지 모르겠음. 원래 목적이었던 과금에도 더는 필요하지 않음
  • “Snowflake 클라우드 데이터 제공업체의 고객 160곳 이상이 관련된 아직 진행 중인 데이터 유출”이라면, Snowflake는 평소에 AT&T 데이터를 다 가지고 뭘 하는 건지 궁금함. “마케팅 파트너”에게 재배포하는 건가? 그렇게 보임
    Snowflake 웹사이트의 사명문은 “우리의 사명은 데이터 사일로를 허물고, 복잡성을 극복하며, 퍼블리셔·광고주·이를 지원하는 핵심 기술 간의 안전한 데이터 협업을 가능하게 하는 것”이라고 되어 있음
    그러면 이건 AT&T 운영 시스템이 침입당한 게 아니라, 이미 마케터에게 팔고 있던 데이터를 인가받지 않은 누군가가 가져간 것처럼 보임. 이 이해가 맞는지 궁금함

    • Salesforce 같은 곳이 유출되고 그 대형 고객이 영향을 받은 경우와 크게 다르지 않을 수 있음. 대기업들은 백오피스 업무 상당 부분에 SaaS 서비스를 쓰고 있음
    • Snowflake는 주로 OLAP용 클라우드 데이터베이스임. AT&T 계정은 나쁜 비밀번호와 다중 인증 부재로 보호되고 있었음
    • AT&T가 Snowflake를 내부 분석에 쓰고 있었을 수도 있음
    • 그렇다면 AT&T는 무엇보다 이 데이터에 대한 대가를 받지 못했다는 점에 더 화가 났을 가능성이 큼
  • 이번 유출과 Snowflake 데이터 레이크에 있던 데이터의 성격을 보면, 고객 관점에서는 이 사건을 “유출”이라고 보지 않을 것 같음. 진짜 유출은 그보다 상류 단계에서 이미 일어났다고 봄
    데이터베이스에 있던 데이터의 성격과 저장된 플랫폼을 보면, 이 데이터는 AT&T 내부용이 아니라 광고주나 소비자 분석 파트너 같은 제3자, 혹은 정부 기관이 외부에서 쓰도록 만들어졌을 가능성이 매우 높아 보임
    즉 내 데이터가 이 저장소에 있었다면, 저장소에 들어간 순간 이미 “유출”된 것으로 볼 것임. 여기서의 문제는 AT&T와 FBI 관점에서 엉뚱한 사람들에게 유출됐다는 점처럼 보임

    • 무차별 데이터 수집과 Snowflake류 데이터베이스의 문제는 인터넷에 어떤 개인정보도 입력하는 순간 안전하지 않다는 것임. 충분한 시간이 지나면 그 모든 정보가 “공유”되고 제3자의 금전적·정치적 이익에 쓰이게 됨
      AT&T든 은행이든 정부든 상관없음. 민감한 정보가 비공개로 남을 거라고 어떤 상황에서도 기대할 수 없음
      예전에는 아이들에게 인터넷을 소개할 때 이걸 거의 절대 원칙처럼 가르쳤는데, 20년 사이에 얼마나 많이 바뀌었는지 놀라움
    • Snowflake가 데이터를 검증하기보다 집어삼켜 팔아치우는 데만 혈안이어서, AT&T 고객의 아동 성착취물을 공개적으로 전송한 적이 몇 번이나 될지 궁금함
  • AT&T 주가는 오늘 아침 초기 -2.6% 하락에서 이미 상당히 회복했으니, 시장은 AT&T가 면역이라고 보는 듯함. 반면 Snowflake는 -3.9% 하락 중이고, AT&T 말고도 고객이 많음
    https://www.marketwatch.com/investing/stock/T
    https://www.marketwatch.com/investing/stock/SNOW

    • 시장이 데이터 유출을 신경 쓴다는 인상을 받은 적이 없음. 대부분 회사가 데이터 유출에 대해 재정적으로 책임지는 경우도 드문 것 같음
      주가에서 보이는 영향이 있다면 이 뉴스와 무관할 가능성이 높다고 봄
    • Salesforce에 데이터를 넣었는데 Salesforce가 유출된 것과 비슷함. 벤더를 잘못 고른 책임은 있을 수 있지만, 실제 신뢰 상실은 Salesforce 쪽에 생길 것임
      이 경우 기사에 따르면 Ticketmaster와 Lending Tree 유출의 원인도 Snowflake였으니, 지금은 Snowflake에 대한 신뢰가 크게 떨어질 만함
    • 비용이 큰 문제가 아니고 고객도 다른 곳으로 가지 않을 것임
      집단소송 결과는 각자 2달러를 받는 대신 2000년대 초 벨소리 부가서비스 무료 체험권으로 바뀌고, 결국 반복 매출만 늘어나는 식일 것 같음
  • 유럽에서는 운영에 필요한 범위를 넘어 전화 기록을 포괄적으로 저장하는 일이 여러 나라에서 불법이었을 것이고, 일반적으로도 국가안보에 대한 실제 위협과 법원 감독 아래의 임시 조치가 아닌 한 유럽인권협약과 맞지 않음[1]
    서비스 제공자가 애초에 이런 것을 저장해야 할 이유가 없고, 입법으로 고치기도 어렵지 않음. 그냥 보관 자체를 불법으로 만들면 됨
    [1] https://curia.europa.eu/juris/document/document.jsf?text=&do...

    • 오히려 많은 유럽 국가는 의무 데이터 보관 기간이 있고, 이번 유출에 포함됐다는 6개월치 기록과 같거나 더 긴 경우도 많음
      독일은 비교적 짧은 편이라 10주지만, 그래도 그런 기록을 보관해야 함
      유럽에서 이런 기록 수집이 불법이라는 말은 명백히 틀렸고, 더 나아가 기록 수집은 보통 국가별로 정해진 기간 동안 의무임
      과금 때문에 전화 기록이 필요함. 고객이 청구서에 이의를 제기하는 일이 흔하니 한동안 더 보관할 필요도 있음
    • 저장해야 할 이유는 많음. 다만 대부분은 사람들이 기업이 운영돼야 한다고 생각하는 방식과 반대일 뿐임
      안타깝게도 미국은 고객 보호보다 “파괴적 혁신”을 더 중시하는 듯하고, 그래서 데이터 법적 보호가 의회에서 인기가 없음
    • 정부가 통신사에 모든 전화 기록을 이런 식으로 저장하라고 명령하는 건 허용되지 않는다고 알고 있었음. 다만 통신사가 스스로 하는 것까지 막지는 못하는 것 같음
      그건 GDPR 제한에 더 걸릴 사안 아닌가 싶음
    • 정부가 국민을 위한 곳에 살고 있는 듯함. 스스로를 위한 정부가 아니라
    • NSA가 원하는 것은 NSA가 가져감. 시스템이 의도대로 작동하고 있다면 별도 입법은 필요 없음
  • 소비자들이 데이터 유출에 너무 무감각해져서, 이제 이런 사건에도 분노가 거의 생기지 않음. 소비자의 분노가 없다면 회사들이 데이터 유출을 막기 위해 더 노력할 유인이 거의 없다고 봄

    • 이제 데이터 프라이버시라는 게 더는 존재하지 않는 것처럼 느껴지기 시작함. 요즘 대형 고객 데이터베이스 관리자들이 비밀번호를 설정하는 수고를 왜 하는지도 모르겠음
    • Equifax 사태 이후로는 아무도 신경 쓰지 않는 것 같음. 이름, 주소, 전화번호 같은 흔한 정보가 아니라 업무 핵심 데이터가 드러나는 대형 B2B 유출이 있어야 큰일로 받아들여질 것임
    • AT&T는 상장사임. 상장사는 그에 맞게 벌금을 내야 함
      이런 유출에 수십억 달러 벌금을 매기기 시작하면 회사들이 갑자기 보안에 투자하게 될 것임
      다만 최근 대법원 판결로 정부 기관의 힘이 약해지고 있어서 가능하지 않을 듯함
      이제는 민사법원, 즉 집단소송으로 벌금을 물리는 데 의존해야 할 것 같음
    • 많은 회사가 사이버 보안팀에 돈을 쏟아부으면 이 문제를 해결할 수 있다고 생각하는 듯함. 그런데 사이버 보안팀은 종종 효과적이지 않음
    • 우리가 화가 나 있었을 때도 왜 아무것도 하지 않았는지 모르겠음
  • AT&T 계정을 10년도 더 전에 해지했는데, 올해 3월의 이전 해킹 때 여전히 내 예전 주소, 전체 이름, 사회보장번호를 저장하고 있었음
    무능한 조직을 실질적으로 처벌할 제대로 된 법이 없다는 건 정말 말이 안 됨

  • 올해 초에도 AT&T나 그 벤더의 유출 때문에 내 사회보장번호가 다크웹에 올라갔음. 1년 모니터링으로는 안 됨. 평생 필요함
    보안은 관심사가 아님. 현 상태를 바꿀 실제 유인이 없음. 이런 회사들이 무기한 모니터링 비용을 내게 해야 함

    • 미국에서 사회보장번호를 비밀처럼 다루는 게 이해되지 않음. 그건 “비밀번호”가 아니라 “사용자명”이어야 함
      우리나라의 국가 신분증 번호는 생년월일, 그날 태어난 순서의 증가 번호, 체크섬 숫자로 계산할 수 있고, 개인 사업을 조금이라도 하면 개인 세금 번호를 모든 영수증이나 사업상 구매 문서에 써야 함
      오늘 첫 번째로 태어난 남자아이의 ID 번호가 120702450001X라는 사실을 안다고 해서 나쁜 짓에 도움이 되지는 않음. 체크섬 계산은 귀찮아서 안 했지만 알고리즘은 공개돼 있음
    • 경우에 따라서는 유출된 정보 중 사회보장번호가 가장 작은 문제일 수도 있음
      자살 예방 핫라인, 낙태 클리닉, 대출 상환 서비스 등에 전화한 사람들은 어떻게 되는지 생각해봐야 함
      전화번호가 있으면 그런 사실을 알아낼 수 있음
    • 1980년대 후반 대학에 갔을 때 내 사회보장번호가 자동으로 학생증 번호로 쓰였음. 1990년에 첫 은행 계좌를 만들었을 때는 사회보장번호가 계좌번호로 쓰였음
    • 사회보장국 자체가 지속 불가능해서 다음 10년 안에 실패하면 더는 문제가 아니게 될 것임
  • TechCrunch 기사에 따르면 기지국 식별자도 포함됐고, 이는 대략적인 위치 정보도 포함됐다는 뜻임
    https://techcrunch.com/2024/07/12/att-phone-records-stolen-d...

  • 그래서 내 보상은 어디에 있는 건지 모르겠음. 물론 구제수단이 없다는 건 알고 있음
    막대한 고객 개인정보가 들어 있는 데이터 저장소에 다중 인증을 켜는 것 같은 안전한 관행에 아무도 책임지지 않으면 이런 결과가 나옴
    사과조차 없이 보고하고 넘어갈 뿐임. “아차, 그 빌어먹을 사이버 범죄자들” 정도로 끝남

    • 법원에 가서 보상을 요구하면 피해를 입증하라고 할 가능성이 큼. 입증할 수 있겠음?
    • 이런 일로 몇 번 수표를 받아본 적이 있음. 결국 청구 양식을 작성하고 5년쯤 기다리다 어느 날 아주 작은 금액의 수표가 우편으로 오는 식임