사이버 공격은 종종 코드 결함을 악용한다. 최근에는 미국 연방수사국(FBI)도 코드 결함 때문에 사이버 공격을 당한 사실을 발표했다.
11월 13일(현지 시각), 사이버 보안 전문가 브라이언 크렙스(Brian Krebs)가 운영하는 사이버 보안 뉴스 웹사이트 크렙스 FBI 공식 홈페이지 도메인명과 인터넷 주소가 각종 사이버 공격 조사를 요청하는 가짜 메일을 대량으로 생성하는 데 악용된 소식을 전했다.
11월 12일(현지 시각), FBI를 사창한 메일 계정 수만 개가 불특정 다수에게 가짜 사이버 공격 경고 메일을 보냈다. 그 후, 폼폼푸린(Pompompurin)이라고 정체를 밝힌 인물이 FBI를 사칭한 가짜 사이버 공격 경고 문제 발생 사실을 전하며, 문제를 확인 후 즉각적인 조처를 할 것을 요청했다.
지금까지 전송된 가짜 사이버 공격 경고 이메일 제목 모두 FBI와 그 산하 기관인 '형사 정의 정보서비스(CJIS)'가 보낸 메일처럼 보인다.
이와 관련, 폼폼푸린은 브라이언 크렙스와의 인터뷰에서 FBI의 시스템 코드 결함을 악용한 해킹 때문에 이번 문제가 발생했다고 주장했다. 그는 FBI가 '법률 집행 기관과 정보 기관, 형사 정의 기관과의 접촉을 제공할 관문'이라고 칭한 법률 집행기관 기업 포털(LEEP)을 통해 FBI 시스템 코드 결함 악용이 시작되었다고 설명혔다.
문제가 발견된 다음날 아침까지 누구나 LEEP을 이용해 FBI 이메일 계정을 생성할 수 있는 것으로 확인됐다.
그러나 폼폼푸린은 LEEP 이외에 FBI 웹사이트의 HTML 코드 내 패스코드 유출 문제가 발생한 사실도 지적했다. 그는 FBI 브라우저로 전송되는 요청을 편집하고 텍스트를 변경하면서 FBI 메일 계정으로 불특정 다수에게 메일을 전송할 수 있다는 사실을 보여주었다.
한편, 브라이언 크렙스가 FBI에 가짜 메일 문제를 문의하자 FBI 관계자는 승인되지 않은 메시지가 전송된 사실을 인정하면서도 구체적인 사항은 밝히지 않았다.
이후 FBI는 공식 성명을 통해 "FBI와 국토안보부 사이버 보안 인프라국(CISA)이 FBI를 사칭한 @ic.fbi.gov 이메일 계정의 가짜 메일을 조사 중이다. 지금은 추가 정보를 전달할 수 없으나 가짜 메일 생성 문제로 영향을 받은 하드웨어는 모두 재빨리 오프라인으로 전환하여 문제를 찾기 시작했다. 또, FBI를 사칭한 가짜 사이버 공격 경고 메일을 주의하고, FBI 인터넷 범죄 불만 접수 센터(IC3)나 CISA 공식 웹사이트에 관련 문제 신고를 당부한다"라고 발표했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
