Gucci 미국지사의 시스템다운 및 데이터 삭제 사건
① 사건 개요
『Manhattan District Attorney Cyrus R. Vance, Jr. today announced the sentencing of SAM CHIHLUNG YIN, 35, to 2-to-6 years in state prison for tampering with the corporate computer network of Gucci America, Inc. (“Gucci”), the Manhattan-based American affiliate of the Italian luxury goods retailer. On July 18, 2012, the defendant pleaded guilty to Computer Tampering in the First Degree and Criminal Possession of Computer Related Materials.』
② 사건 경위
Gucci 미국지사의 전직 네트워크 엔지니어인 샘인(Sam Yin, 35)은 2010년 10월에 Gucci 미국지사로부터 해고 당한 데 원한을 품고 회사 이메일 시스템에 침입해서 파일을 삭제하고 서버와 네트워크를 다운시켰다.
샘인은 재직 기간에 비밀 계정을 생성하고, VPN 토큰(Token)으로 Gucci 사의 네트워크에 접속하여 2010년 11월 12일에 Gucci 미국지사의 “SAN(Storage Area Network)”을 정지시키고, 이메일 서버의 모든 계정을 삭제하였다. 그 결과 24시간 동안 미전역의 Gucci 사 직원들은 이메일을 사용할 수 없는 피해를 보게 되었으며 일부 이메일 계정은 영구적으로 복구가 불가능한 상태가 되었다.
③ 범행 동기
샘인은 임직원 할인정책을 악용하여 약 10만5천 달러의 부당이득을 취한 혐의로 Gucci 사로부터 해고 당한 데 앙심을 품고 범행을 저질렀다.
④ 침해 방법
샘인은 재직 기간에 회사 시스템에 접근해서 서버 및 네트워크를 다운시킬 수 있는 비밀 계정을 생성하고, 가공의 이메일 계정으로 Gucci 사의 IT 직원을 속이는 메일을 보내서 VPN을 통해서 회사 네트워크에 접근할 수 있는 원격접근 권한을 획득하였다. 한 달 후에 해당 USB(Universal Serial Bus) 기반의 “VPN 토큰”을 이용하여 이미 생성해 놓은 네트워크 관리자 계정으로 쉽게 Gucci 사의 네트워크에 접속할 수 있었으며, 2010년 11월 12일에 회사의 “SAN(Storage Area Network)”을 정지시키고, 이메일 서버의 모든 계정을 삭제하였다.
⑤ 피해 규모
Gucci 사는 데이터 삭제 및 서버와 네트워크 다운으로 복구에 수개월이 소요된다고 밝혔으며, 약 20만 달러의 금전적인 피해를 입었다고 발표하였다.
⑥ 적용 법률
Two-to-six years in state prison
Computer Tampering in the First Degree, a class C felony, 1 count
Criminal Possession of Computer Related Material, a class E felony, 10 counts
[참고]
- VPN 토큰(Token): 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 제공하는 서비스로 기업 본사와 지사 또는 지사 간에 전용망을 설치한 것과 같은 효과를 거둘 수 있으며, 기존 사설망의 고비용 부담을 해소하기 위해 사용한다. (시사상식사전, 박문각)
- SAN(Storage Area Network): 컴퓨터 간을 연결하는 구내 정보 통신망(LAN)과는 달리 하드 디스크 등의 외부 기억 장치끼리 고속으로 연결된 통신망. 서버마다 디스크 장치를 접속하는 환경에 비하여 운용 관리를 집중화할 수 있다. 전형적인 SAN의 실현 기술은 파이버 채널(FC)이며 전송 속도는 266/1,062.5/2,125/4,250Mbps이다. 상위 계층의 통신 규약까지 규정하는 것은 아니기 때문에 TCP/IP를 시작으로 하는 복수 통신 규약을 지원할 수 있다. (IT 용어사전, 한국정보통신기술협회)
- USB(Universal Serial Bus): PC와 주변 기기를 연결하는 인터페이스(interface) 규격. 한 대의 PC에 최대 127개의 주변 기기를 연결할 수 있으며, 스피커, 모뎀, CCD 카메라 등 종류가 다양하다. 컴퓨터 뒤에 있는 모든 포트(마우스, 키보드, 직렬, 병렬, 조이스틱 등)를 하나의 포트로 대체하기 위하여 컴팩, 디지털, IBM 등의 PC 제조업자 컨소시엄이 만든 범용 직렬 버스를 말한다 (컴퓨터인터넷IT용어대사전, 일진사)
<표> 내부자 위협의 유형 및 특징
| IT 사보타주 | 지식재산 절취 | 부정 | |
| 범죄 비율 | 45% | 14% | 44% |
| 전·현직 구분 | 퇴사하였거나, 계약기간이 종료된 전직 직원 | 재직중인 현직 직원 | 재직중인 현직 직원 |
| 직무분야 | 전문적인 기술을 보유하고 접근권한을 가지고 있는 시스템 관리자, 데이터베이스 관리자, 프로그래머 등 | 기술직 (71%) - 과학자(연구자), 엔지니어, 프로그래머 등 영업직 (29%) - 영업직원 등 | 비 기술직, 비 전문직, 기밀 정보 혹은 민감 정보에 접근할 수 있는 낮은 직급 직원 |
| 직원 구분 | 정규직원 75%, 계약직원 25% | - | - |
| 연령 | 17세부터 65세 | - | 10대부터 70대 |
| 성별 | 남성 | 남성 | 남성 여성 동일 비율 |
| 목표 | 시스템, 네트워크, 데이터베이스 | 지식재산 (71%), 고객정보 (33%) | 개인식별정보 혹은 고객정보 |
| 접근권한 | 비 인가된 접근 | 인가된 접근 | 인가된 접근 |
| 공격장소 | 원격 접속 | 직장 내 | 직장 내 |
| 공격시간 | 업무시간 이전 혹은 이후 | 업무시간 내 | 업무시간 내 |
| 외부자로부터 모집 | - | 25% 미만 | 절도의 50% 변조의 1/3 미만 |
| 공모 | - | 적어도 1명이상 (50%) | 다른 내부자와 공모 (변조의 50%) 외부자와 공모 (절취의 2/3) |
댓글