미국 기업에서 근무한 전직 개발자가 회사 네트워크에 ‘로직 폭탄’을 심어 실형을 선고받았다. 그는 자신의 계정 ID가 비활성화될 경우 동료 직원들의 액티브 디렉터리 프로필을 자동으로 삭제하도록 설계했다.
자신이 근무하던 회사 네트워크에 혼란을 일으키는 ‘로직 폭탄’을 심어 보복 공격을 감행한 소프트웨어 개발자가 오하이오 법원으로부터 징역 4년형을 선고받았다.
미국 법무부에 따르면, 전기 제조기업 이튼(Eaton Corporation) 소속이었던 55세 중국 국적의 데이비스 루는 2018년 조직 개편을 단행하면서 자신이 수석 개발자에서 강등된 것에 불만을 품었다.
이에 그는 2019년부터 회사 내부 시스템에 악성 루틴을 숨겨 넣어 교란 행위를 시작했다. 첫 번째 공격은 같은 해 8월 4일에 실행된 ‘무한 루프(infinite loop)’로, 생산 서버가 리소스 고갈로 인해 중단되거나 다운될 때까지 자바 가상머신(Java VM)이 끊임없이 새로운 스레드를 생성하도록 했다.
또한 그는 회사의 윈도우 액티브 디렉터리(Active Directory, AD) 데이터베이스를 주기적으로 조회해 자신의 계정이 활성 상태인지 점검하는 두 번째 공격 코드를 심었다. 계정이 비활성화될 경우 ‘킬 스위치(kill switch)’ 코드가 다른 AD 사용자들의 프로필을 삭제하는 방식이었다. 같은 해 9월 9일 네트워크 접근 권한과 고용이 정지되면서 해당 조건이 충족되자, 코드가 자동 실행돼 다른 직원들이 네트워크에 접근하지 못하게 됐다.
로그 분석을 통해 해당 교란 행위가 켄터키주에 위치한 컴퓨터에서 데이비스 루의 사용자 ID로 실행된 것이 확인됐다.
미국 법무부 형사국의 매튜 R. 갈레오티는 “피고인은 자신에게 주어진 접근 권한과 기술적 지식을 악용해 회사 네트워크를 파괴하고 큰 혼란을 일으켰으며, 미국 기업에 수십만 달러의 피해를 입혔다”라며, “그러나 피고인의 기술적 능력과 위장 시도는 결국 행위에 따른 결과를 피하게 해주지 못했다”라고 설명했다.
노골적인 방식으로 공격
이번 사건의 특이한 점은 해당 개발자가 범행 계획과 실행의 증거를 거의 숨기려 하지 않았다는 것이다. 피고인은 오히려 자신의 개입을 노골적으로 드러내려는 듯한 행태를 보였다. 이로 인해 배심원단은 지난 3월에 유죄 평결을 내리게 됐다.
그 대표적인 예가 AD 킬 스위치 코드에 붙은 이름이었다. 개발자는 이를 “IsDLEnabledinAD”라 명명했는데, 이는 “데이비스 루가 AD에 접속할 수 있는가?(Is Davis Lu enabled in Active Directory?)”라는 문구의 축약어였다.
또한 해당 개발자는 검찰이 증거를 찾기 위해 가장 먼저 확인할 곳이 인터넷 검색 기록이라는 점을 알고 있었을 가능성이 높다. 그러나 법무부는 “검색 기록에서 권한 상승 방법, 프로세스 은폐, 파일을 신속히 삭제하는 방법 등을 조사한 흔적이 발견됐다”라며 “동료들이 시스템 교란 문제를 해결하지 못하도록 방해할 의도가 분명했다”라고 설명했다.
2019년 9월, 해당 개발자는 회사로부터 노트북 반납을 요구받으면서 상황이 끝났음을 직감했을 것으로 보인다. 그는 이에 대응해 노트북의 암호화된 볼륨을 삭제하고, 동시에 2개의 프로젝트와 리눅스 디렉터리 일부를 지우려 시도했다. 법원 공소장에 따르면, 결국 그해 10월 7일 자신의 공격 행위를 인정했다.
내부자 위협의 위험성
기업이 해커나 데이터 유출보다 더 두려워하는 공격은 바로 내부에서 역량과 지식을 가진 직원이 통제를 벗어나 독자적으로 움직이는 경우다.
이 같은 사례는 흔치 않지만, 법정에 공개되는 순간 업계 전반에 큰 충격을 주고 있다. 문제는 개발자와 시스템 관리자가 업무 수행을 위해 일정 수준 이상의 권한을 가질 수밖에 없다는 점이다. 이 때문에 정상적인 접근과 통제를 벗어난 내부자의 파괴 행위를 사전에 구분하기가 본질적으로 어렵다.
이번 사건은 관리자 권한을 제한하고 로그 모니터링을 통해 의심스러운 접근 패턴을 지속적으로 감시할 필요성을 보여준다. 이상 징후가 포착되면 즉각 대응할 수 있는 인력이 배치돼야 하며, 이러한 통제 장치의 존재만으로도 억제 효과를 발휘할 수 있다.
지난 10년 사이 상황은 크게 달라졌다. 예를 들어, 2008년 샌프란시스코시의 네트워크 관리자 테리 차일즈는 시 정부의 FiberWAN 시스템 관리자 비밀번호 제출을 거부해 조직이 12일 동안 관리 권한을 상실하게 했다. 차일즈의 주장은 단순했다. 자신만이 이 시스템을 제대로 운영할 수 있다는 것이었다.
일부 시스템 관리자들은 당시 차일즈의 주장에 동의하기도 했지만, 오늘날이라면 한 직원에게 시스템에 대한 단독 접근 권한을 부여하는 발상 자체가 법정에서 즉시 기각될 가능성이 높다. 차일즈는 2010년 유죄 판결을 받았으며, 징역 4년형과 150만 달러 배상 명령을 선고받았다.
그럼에도 불구하고 내부자 권한 남용 사례는 여전히 발생하고 있다. 최근의 대표적인 예가 유비키티네트웍스(Ubiquiti Networks)의 관리자 니콜라스 샤프 사건이다. 그는 2020년 회사로부터 충분한 보수를 받으면서도 데이터를 절취했고, 동료 직원들에게 도난 혐의를 뒤집어씌우려 시도했다. 이어 회사를 상대로 200만 달러를 요구하며 데이터 반환을 빌미로 협박했다. 이 모든 과정은 그가 보안 침해 대응 작업을 수행 중이었다고 주장하는 동안 벌어졌다.
dl-ciokorea@foundryco.com
