해킹 피해 인터넷아카이브 이메일 계정이 부정 사용

웨이백머신(Wayback Machine) 등을 운영하는 인터넷아카이브(Internet Archive)는 10월 9일 해킹 피해를 입어 3,100만 명 이상 사용자 데이터가 유출된 것으로 보도됐다. 더구나 해커는 사용자가 지원 티켓에 접근하기 위한 젠데스크(Zendesk) 토큰을 훔쳤다고 주장하며 지금까지 지원을 요청한 사용자에게 인터넷 아카이브 이메일 계정을 사칭해 메시지를 보내고 있다.

10월 9일 발생한 인터넷아카이브에 대한 사이버 공격은 어떤 개발 서버에서 인터넷아카이브 소스 코드를 다운로드하기 위한 인증 코드를 포함한 깃랩(GitLab) 구성 파일이 공개되어 있었던 것에서 시작됐다. 보도에 따르면 이 구성 파일은 적어도 2022년 12월부터 공개되어 있었으며 해커에 의해 구성 파일이 도난당한 결과 악의적 인물은 인터넷아카이브 사용자 데이터베이스를 다운로드할 수 있을 뿐 아니라 자신들 소스 코드를 추가하고 사이트를 변경할 수 있었다고 한다.

이 공격으로 유출된 사용자 데이터는 상당한 수에 달하며 개인 정보가 유출됐는지 확인할 수 있는 서비스(Have I Been Pwned?)는 인터넷아카이브에서 이메일 주소나 이름, bcrypt로 해시화된 비밀번호를 포함한 3100만 건 데이터가 침해됐다며 54%는 이미 ‘Have I Been Pwned?’에 존재한다고 밝혔다.

이번에 도난당한 데이터에는 사용자가 인터넷아카이브에 지원을 요청할 때 필요한 티켓을 발행하는 젠데스크 지원 시스템 API 접근 토큰도 포함되어 있었으며 해커는 과거 인터넷아카이브에 지원을 요청했던 사용자에게 인터넷아카이브 지원팀 이메일 계정을 사용해 이번에 입수한 데이터에는 2018년 이후 ‘info@archive.org’로 전송된 80만 건 이상 지원 티켓에 접근할 수 있는 권한을 가진 젠데스크 토큰이 포함되어 있다. 인터넷아카이브에 대해 일반적인 질문을 하려고 했던 경우에도 웨이백머신에서 사이트 삭제를 요청했던 경우에도 당신의 데이터는 이미 다른 제3자에게 넘어갔다고 주장하는 메시지를 전송하고 있다.

보도에 따르면 이 메시지는 DKIM, DMARC, SPF의 모든 인증 검사를 통과했으며 192.161.151.10의 인증된 젠데스크 서버에서 전송되었음을 증명하고 있다고 한다.

인터넷아카이브 창립자인 브루스터 케일은 24시간 체제로 사이트 보안 향상에 힘쓰고 있으며, 더 안전한 인터넷아카이브 서비스 재개에 노력하고 있다며 앞으로 며칠 안에 많은 서비스가 재개될 것이지만 완전한 복구에는 시간이 걸릴 것으로 예상된다며 방어 체계 재구축과 강화를 위해 신중한 접근 방식을 취하고 있으며 최우선 과제는 인터넷아카이브가 더 강력하고 안전하게 온라인 상태가 되는 것을 보장하는 것이라고 말했다. 관련 내용은 이곳에서 확인할 수 있다.