GN⁺: 콜럼버스 시, 사이버 공격 규모를 폭로한 전문가 고소

 (10tv.com)
1P by neo 19일전 | favorite | 댓글 1개

  • 지방법원, 시의 데이터 유출을 폭로한 사이버 보안 전문가에 대한 접근 금지 명령 승인

    • 프랭클린 카운티 판사는 지난달 시의 사이버 공격으로 유출된 정보의 종류와 양을 공개한 사이버 보안 전문가, 코너 굿울프에 대한 임시 접근 금지 명령을 승인함
    • 굿울프는 지난 몇 주 동안 10TV 및 기타 언론 매체와 인터뷰를 통해 다크 웹에 어떤 정보가 있는지 상세히 설명함

  • 시의 사이버 공격 경과

    • 시는 7월 18일 기술 부서에서 시스템 이상 징후를 발견한 후 인터넷 연결을 끊음
    • 2주 후 해커 그룹 Rhysida가 공격을 자행했다고 주장하며 6.5 테라바이트의 데이터를 보유하고 있다고 발표함
    • Rhysida는 이후 시로부터 탈취한 데이터의 45%를 공개함

  • 데이터 유출의 영향

    • 8월 13일, 앤드류 진서 시장은 해커가 탈취한 데이터가 손상되거나 암호화되어 쓸모없다고 발표함
    • 그러나 굿울프는 10TV와의 인터뷰에서 이 주장이 사실이 아니며, 자신이 접근할 수 있는 개인 정보를 보여줌
    • 굿울프는 최근 콜럼버스 경찰 범죄 매트릭스가 다운로드 가능하다고 밝힘. 이 데이터베이스에는 지난 10년간의 경찰 보고서에서 목격자, 피해자, 용의자 정보가 포함됨

  • 접근 금지 명령 및 소송

    • 시는 굿울프에 대한 임시 접근 금지 명령을 신청하고 승인받음. 시는 최소 $25,000의 손해 배상을 요구하며, 총 금액은 재판에서 결정될 예정임
    • 법원은 굿울프에게 시의 도난당한 데이터에 접근, 다운로드, 배포를 중단하라고 명령함
    • 시는 굿울프가 "돌이킬 수 없는 피해"와 "중앙 오하이오 지역 전반에 걸친 광범위한 우려"를 초래했다고 주장함

  • 시의 입장

    • 시 변호사 잭 클라인은 이번 사건이 굿울프의 표현의 자유를 억압하는 것이 아니라고 강조함
    • 클라인은 이번 조치가 범죄 수사를 위협하는 데이터의 확산을 막기 위한 것이라고 설명함
    • 클라인은 경찰관, 피해자, 목격자를 보호하기 위해 노력하고 있으며, 굿울프가 다운로드하고 공유한 정보가 공공 안전에 위협이 된다고 주장함

  • 굿울프의 계획

    • 굿울프는 자신이 만든 웹사이트를 통해 시의 도난당한 데이터를 공개할 계획이라고 밝힘. 그러나 이 웹사이트는 사람들이 자신의 이름이 데이터 유출에 포함되었는지 확인할 수 있는 용도로만 사용될 것이라고 주장함

  • 시의 반응

    • 클라인의 사무실은 판사의 결정을 존중하며, 이는 도난당한 기밀 인사 및 피해자 데이터의 확산을 막기 위한 긍정적인 조치라고 발표함
    • 시는 굿울프에 대해 형사 행위로 인한 손해 배상, 사생활 침해, 과실, 민사 전환 등 네 가지 청구를 제기함
    • 최종 사전 심리는 2025년 9월 18일로 예정됨

GN⁺의 정리

  • 이번 사건은 시의 데이터 유출과 관련된 중요한 정보를 공개한 사이버 보안 전문가에 대한 법적 대응을 다루고 있음
  • 굿울프는 시의 발표와 달리 해커가 탈취한 데이터가 유용하다는 사실을 밝혀내며 논란을 일으킴
  • 시는 굿울프의 행동이 공공 안전에 위협이 된다고 주장하며 법적 조치를 취함
  • 이번 사건은 데이터 유출과 관련된 법적, 윤리적 문제를 다시 한번 상기시키며, 데이터 보안의 중요성을 강조함
neo 19일전  [-]
Hacker News 의견

  • 전직 펜테스터로서 Goodwolf에게 공감하지만, 실제 데이터를 공개하는 것은 거의 항상 나쁜 생각임

    • 버그 바운티 프로그램이 제한된 범위를 가지는 이유임
    • Goodwolf가 진행 중인 조사와 비밀 경찰 보고서에 대한 데이터를 공유한 것에 대해 시가 화가 난 것 같음
    • 데이터를 가져와 다른 사람에게 전달하는 것은 명백히 좋은 생각이 아님
    • 기자들에게 데이터가 존재하고 다운로드 가능하다는 것을 증명하려면, 데이터에 접근하지 않고도 할 수 있는 방법이 많았음: 포럼 게시물의 스크린샷을 찍거나, 링크를 기자들에게 보내거나, 데이터의 종류를 설명하는 것 등
    • 만약 그가 그렇게 했는데도 시가 이런 식으로 반응한다면, 그것은 명백히 남용임
    • 진행 중인 조사에 대한 데이터를 기자들에게 전파하지 말라고 명령하는 것은 불합리하지 않음
    • 개인적인 사건이 더 널리 퍼지기를 원하는 사람은 없을 것임
    • 이 실수는 쉽게 저지를 수 있는 것이기 때문에 그에게 매우 공감함
    • 업계에 들어가기 전에 이것이 화이트 해킹이라고 생각했음
    • 침해에 대한 인식을 확산시키는 것은 분명히 좋은 일이지만, 어떻게 하는지가 정말 중요함
    • 2016년에 약 1년 동안 이 업계에서 일했지만, 오늘날에도 침해된 실제 데이터를 배포하는 것이 펜테스터로 일하는 누구에게도 용인될 것이라고는 생각하지 않음

  • Goodwolf가 자신의 웹사이트를 만들어 시의 도난 데이터를 공개하겠다고 위협하고 있음

    • Goodwolf는 10TV에 자신의 웹사이트를 설정할 계획이 있지만, 사람들이 자신의 이름이 데이터 침해에 포함되었는지 확인할 수 있게 할 것이라고 말했음
    • 이것은 비밀번호가 유출되었는지 확인하는 사이트를 설정하는 것과는 다름
    • 누군가의 이름을 입력하여 그 사람이 범죄 조사에서 증인인지 여부를 확인할 수 있게 할 수 있음
    • Klein은 "이것은 표현의 문제가 아니라, 키보드로 다크 웹에 접속하여 정보를 수집하고 컴퓨터에 다운로드한 후 언론이나 다른 사람들에게 배포하는 실제 행동에 관한 것"이라고 말했음

  • 시가 데이터를 보호하지 못한 것에 대해 대중에게 거짓말을 한 것에 관한 것임

    • 연구자들은 단순히 Columbus, OH의 보안 시스템이 얼마나 나쁜지 지적하고 있음
    • 8월 13일, 시장 Andrew Ginther는 해커들이 훔친 데이터가 손상되었거나 암호화되었기 때문에 쓸모없을 가능성이 높다고 말했음
    • 몇 시간 후, Goodwolf는 그것이 사실이 아니며 자신이 접근할 수 있었던 개인 정보의 종류를 보여줌
    • 시의 전체 지도부는 해고되어야 함
    • 보안이 없는 상태에서 발각되고, 대중에게 거짓말을 하고, 거짓말이 정당하게 지적되자, 이 어리석은 소송으로 불을 지름
    • 당황한 시가 시가 얼마나 엉망인지 모두에게 알린 성가신 사람을 고소함
    • 공개된 정보의 내용을 조사하는 보안 연구자를 고소하는 것은 누구도 보호하지 못함
    • EFF나 ACLU가 이 어리석고 무기화된 금지 명령에 맞서 방어하는 데 도움을 줄 완벽한 사례임

  • Columbus에 여러 해 동안 살았음

    • 이것은 절대적으로 맞음
    • 빨간 주의 파란 도시가 자신을 보호하는 데 매우 대담해지는 무언가가 있음

  • 목록에 추가:

    • Hacking syndicate: 고소되지 않음
    • 해킹된 기록을 호스팅하는 공개 웹사이트: 고소되지 않음
    • 거짓말하는 공무원: 고소되지 않음
    • 이 세 가지를 지적한 Joe Schmoe: 고소됨
답변달기