| 침해 사고 정보 |
|
| 일자 | 2023/05/16 |
| 침해 정보 | 전자책(e-Book) |
| 특징 | 마스터키(복호화 키) 무단 취득에 의한 유출 |
| 피해크기 | 전자책(e-Book) 약 72만권 |
| 침해 사고 분석 | |
| 경위 | ① 피의자 A씨는 5월경 피해 업체 정보통신망의 취약점을 이용해 DRM 복호화 키 무단 취득 > DRM(Digital Rights Management): 디지털 콘텐츠를 암호화하여 정당한 권한을 가진 자만 열람·접근할 수 있도록 보호·관리하는 기술 > DRM 해제를 위한 자동화 프로그램을 제작 및 이용 > 구체적인 취약점은 확인되지 않음 ② DRM 복호화 키를 이용해 전자책 5,000권을 복호화해 협박에 이용 > 비트코인 100비티시(당시 시세 기준 약 36억 원)를 요구 > 알라딘은 비트코인을 지불하였으나, 거래소 감시 시스템에 막혀 비트코인 0.3개가량만 전송됨 > A씨는 알라딘에 현금을 요구하였으며, 자금세탁 B씨, 현금수거 C씨 가담 ③ 23.09.19 주범 A씨 구속 > 평소 디알엠 해제 방법에 관심을 두던 중 피해 업체의 보안상 허점 인지 > 다량의 전자책 암호 해제를 위한 프로그램을 제작 > B씨 23.08.03, C씨 23.07.27 구속 송치 |
| 원인 | ① 정보통신망의 취약점을 악용해 DRM 복호화키 탈취 |
| 조치 | ① 알라딘 > 23.05.20 ~ 21 홈페이지 공지사항에 관련 안내글 2개 게시 > 유관기관 신고, 유출된 전자책 무단 재배포 모니터링 등 ② 경찰 > 피의자 A가 개인용 컴퓨터와 클라우드에 보관 중이던 본건 전자책 복호화 키를 전량 회수 > 당시 유포된 전자책이 텔레그램 및 불법 공유 사이트를 통한 재배포 관찰 ·추적 및 관계기관 협업해 삭제 ·차단 조치 계획 > 한국인터넷진흥원과 수사 초기 공동 분석하여 공격방식, 취약점을 규명 > 수사를 통해 파악한 DRM의 보안상 문제점을 피해 업체에 공유 > 문화체육관광부, 한국저작권보호원, 한국인터넷진흥원, 한국전자출판협회 등 관계기관 회의를 개최 > 인터넷에 게시된 불법 저작물 다운, 재배포 등 행위 엄중 경고 ③ 대한출판문화협회 > ‘전자책 유통 플랫폼 보안 상황 점검을 위한 설명회’를 개최 > 주요 전자책 플랫폼의 보안 업무 책임자, 출판사, 보안 전문가 등과 함께 재발 방지 방안을 모색할 예정 |
| 기타 | ① 피의자 A씨는 본 사건 이전에도 타 사이트의 DRM 복호화 키를 탈취 > 22.11 예스24에서 약 143만 권의 DRM 복호화 키 무단 취득 및 협박은 없음 > 23.09 시대인재와 메가스터디의 강의 동영상 700개를 DRM 복호화 키로 해제해 유포 및 협박 > 4개 피해 업체로부터 무단 취득한 전자책과 강의 동영상은 판매단가 기준, 합계 약 203억 원으로 파악 > 공갈 당시 유포된 전자책 5,000권과 강의 동영상 약 700개 이외에는 추가 유포된 자료는 없는 것으로 파악 ※ 예스24는 DRM 복호화 키 유출을 인지한 시점에 즉시 복호화 키 무력화 ② 다른 플랫폼의 DRM 관련 현황 > 밀리의 서재: DRM 기술을 바탕으로 한 보안 체계를 가동중이며, 더욱 구체화할 계획 > 예스24: 기본 DRM 외에 2개의 추가 암호화 로직을 주기적으로 변경해 사용하며, 내부 정보 관리 네트워크와 인터넷망을 분리 운영 > 교보문고: DRM 기술 및 이·삼중으로 철저한 보안을 유지하고 있다”면서 “전 직원이 월 1회 클린데스크를 점검하거나 악성메일에 대한 모의훈련을 실시하는 등 보안 이슈에 대비하고 있다”고 설명했다. ③ 출판인회의 관계자 > 국내 전자책 유통사 전반에 보안에 문제가 있음이 증명된 사건 > 표준 보안 기술이 필요하다고 요구하는 중 > 개별 서점이 관리하는 방식이 아닌 통일된 전자책 보안 방식을 도입할 이유가 더 분명 ④ 경찰청 국가수사본부 사이버수사국 이지용 경감 > 복호화 키를 저장하는 서버가 외부에 노출돼 발생한 취약점 > 전자책 서비스 기업 대부분이 우선순위를 ‘보안’보다는 전자책을 보다 읽기 쉽게 하기 위한 ‘가용성’에 초점을 맞췄기 때문에 발생 > 이번 사건을 계기로 전자책 업계에서는 보관 중인 전자문서에 접근하는 인증절차, 외부 접근절차를 더욱 강화할 필요 > 동영상 스트리밍, 전자책 서비스는 캐시 서버(CDN)에 암호화된 전자책을 보관하지만, 원활한 서비스를 이유로 인증 절차나 정책이 매우 미흡 > CDN 서버는 특정 서버를 끊임없이 제공해야 하므로 문제가 된 취약점은 업계에서 암묵적으로 방치된 취약점(보안 강화로 서비스가 무거워질 수 있기 때문) |
'침해사고 > 해킹사고' 카테고리의 다른 글
| 농협 전산망 마비 사태 (0) | 2023.11.16 |
|---|---|
| 한국장학재단 '개인정보 유출' 의심 (0) | 2023.06.28 |
| 한국씨티은행 포스(POS)단말기 해킹 사고 (0) | 2023.06.28 |
| 대학교 개인정보 유출 (0) | 2023.06.17 |
| 한독 개인정보 유출 (0) | 2023.06.16 |