서버 공격 후에도 안전한 NordVPN 네트워크

1. 영향을 받은 서버는 2018년 1월 31일에 온라인으로 전환되었음.
2. 서버 공격의 증거는 2018년 5월 3일에 처음 나타났음. 그 증거에 따르면 해킹이 2018년 3월 5일 또는 그즈음에 일어났을 것으로 추정됨.
3. 2018년 3월 20일 타사 데이터 센터가 미공개 보안 관리 계정을 삭제하면서 공격이 진압되었음.
4. 우리는 타사 데이터 센터로부터 2019년 4월 13일에 서버 공격 사건에 관한 사실을 통보받았으며 그날 즉시 해당 서버를 완전히 제거했음.

• 2018년 3월 핀란드의 데이터 센터에서 서버 1대가 침입받았으며, 나머지 시스템에는 아무런 영향이 없었습니다. 이 한 대를 제외하고는 어떤 유형의 다른 서버도 위험에 노출되지 않았습니다. 해당 공격은 서버만을 대상으로 한 공격이었으며 전체 서비스에는 어떠한 타격도 없었습니다.
• 이러한 서버 침해는 타사 데이터 센터 측에서 우리에게 전혀 알리지 않았던 잘못된 시스템 구성으로 인해 발생한 것으로 보입니다. 증거에 따르면, 데이터 센터는 공격 사실을 알게 되었을 때 이를 곧바로 우리 측에 오류를 통지하지 않았으며, 자체적으로 취약성의 원인이 된 계정을 삭제했습니다. 우리는 이후 이 위반 사실을 알게 되자마자 해당 서버 공급업체와의 계약을 종료하였고, 전체 서비스에 대한 광범위한 감사를 시작했습니다.
• 이 공격에 영향을 받은 사용자 자격 증명은 단 하나도 없습니다.
• 서버 침입자가 사용자 트래픽을 모니터링하려고 시도한 흔적이 없습니다. 만일 그랬을 경우라도 해당 사용자의 자격 증명에 액세스할 수 없습니다.
• 서버 공격자는 TLS 키를 획득했습니다. 이 키는 특별한 상황에서 고도로 정교한 특정 대상 해킹 방법인 MITM를 사용하여 웹상의 단일 사용자를 공격하는 데 사용될 수 있습니다. 하지만 이러한 키는 어떤 형식으로든 암호화된 NordVPN 트래픽을 해독하는 데 사용할 수 없으며 이는 앞으로도 마찬가지일 것입니다. 아래에 더 자세한 설명이 있습니다.
• 동일한 침입자가 개시한 공격에 두 개의 다른 VPN 업체도 영향을 받은 것으로 드러났습니다. 따라서 우리는 이것이 NordVPN만을 표적으로 한 공격이 아닌 것으로 보입니다.
• 해당 사건은 오히려 침입당한 서버에 저장된 사용자 활동 로그가 전혀 없다는 것을 효과적으로 증명했습니다. 무엇보다도, 이와 유사한 사고를 방지하기 위해 우리는 이제 새롭게 구축하는 모든 서버의 하드 디스크를 암호화합니다. 우리는 앞으로도 고객의 보안을 최우선으로 생각하며 계속해서 우리의 기술 수준을 향상시킬 것입니다.

2018년 3월, 우리가 서버를 임대하던 핀란드의 한 데이터 센터에서 서버 하나가 무단으로 침입당하는 사고가 발생했습니다. 이 공격은 핀란드의 데이터 센터가 우리에게 알리지 않고 추가했던 원격 관리 시스템 계정의 취약점을 틈타 수행되었습니다. 데이터 센터는 우리에게 이 일을 통보하지 않았고 침입자가 악용한 사용자 계정을 삭제했습니다.

우리의 서버에는 사용자 활동 로그가 전혀 존재하지 않기 때문에 당연히 침입자는 서버에서 사용자의 활동 로그를 찾지 못했습니다. 또한 우리의 어떤 응용프로그램도 인증을 위해 사용자가 만든 자격 증명을 보내지 않으므로 침입자는 사용자의 ID, 사용자 이름 또는 암호를 검색하지 못했습니다.

다만 서버 침입자는 이미 만료된 TLS 키를 찾아 획득했습니다. 이 키는 특정 대상에 대한 웹 공격에만 사용할 수 있으며, 공격 대상자의 장치 또는 네트워크에 대한 특별한 접근 경로(예: 이미 손상된 장치, 악성 네트워크 관리자 존재 또는 손상된 네트워크 등)가 필요합니다. 그런 공격은 확률적으로 성공하기 매우 어렵습니다. 또한, 기한 만료 여부에 상관없이 이 TLS 키를 사용하여 NordVPN 트래픽의 암호화를 해독하는 일은 절대 일어날 수 없습니다. 이것은 확률의 문제가 아니라 기술적으로 불가능한 일입니다.

• 해당 서버 침입 사건은 개별 사례로, 우리가 사용하는 다른 서버와 데이터 센터 공급자는 전혀 영향을 받지 않았습니다.

이 사실을 알게 되자마자 우리는 우선 해당 서버 공급업체와 계약을 해지하고 2018년 1월 31일부터 이 데이터 센터에서 운영하던 모든 서버를 없앴습니다. 그다음 즉시 전체 인프라에 대한 철저한 내부 감사를 시작했습니다. 우리의 다른 어떤 서버도 이런 식으로 침입당한 일이 없다는 것을 확인했습니다. 하지만 전 세계에 있는 5,000대 이상의 서버의 공급자와 시스템 구성을 철저히 검토하는 데에는 시간이 걸립니다. 이러한 유형의 서버 공격이 우리의 인프라의 다른 곳에서도 복제될 수 없다는 것을 확신할 수 있을 때까지는 해당 서버 공격 사건을 대중에게 알리지 않기로 결정했었기에, 정보 공개가 다소 지연되었습니다. 마지막으로, 우리는 현재와 미래의 파트너 데이터 센터에 관한 선택 기준을 더욱 높여 유사한 사건이 다시는 발생할 수 없도록 빈틈 없는 재정비를 마쳤습니다.

이 서버 침해의 규모와 위험 범위를 정확하게 이해하는 것은 매우 중요합니다. 이 사건은 우리가 보유하고 있던 3,000대 이상의 서버 중 단 하나에, 그것도 제한된 기간에만 영향을 미쳤습니다. 물론, 우리에게 면죄부를 주려는 것이 아닙니다. 이것은 결코 있어서는 안 될 엄청난 실수였다는 것을 인정하며 여러분께 머리 숙여 용서를 구합니다. 우리의 의도는 이 서버 침해 사건의 심각성과 여러분께 끼쳐드린 심려를 마치 아무 일도 아니었던 것으로 만들려는 것이 아닙니다. 이러한 일이 있기 전에 미리 신뢰할 수 없는 서버 공급자를 걸러내고 고객의 보안을 보장하기 위해 더 많은 대비를 했어야 했습니다.

서버 침입 사건을 계기로 우리는 보안을 강화하기 위해 필요한 모든 수단을 동원했습니다. 애플리케이션 보안 감사를 받았고, 현재 2차 노-로그 감사를 진행하고 있으며, 버그 현상수배(Bug Bounty) 프로그램을 준비하고 있습니다. 우리는 서비스의 모든 측면에서 보안을 극대화하기 위해 최선을 다할 것이며, 내년에는 모든 인프라를 대상으로 한 독립적인 외부 감사를 시작할 것입니다.

우리의 목표는 이 서버 침입 사건에 대해 대중에게 알리고 정확한 정보를 전달하는 것입니다. 그래야만 이 중대한 문제를 함께 극복하고 보안을 더욱 강화할 수 있습니다.

(참고: 본 게시물은 2019년 10월 25일에 업데이트되었습니다.)

추가 업데이트(2019년 10월 26일): NordVPN은 이번 사건 이후 보안을 개선할 방법의 세부 계획을 발표했습니다. 여기를 클릭하여 내용을 확인해 보세요.

업데이트(2020년 11월 13일): NordVPN은 해킹되지 않았으며, 위에 언급된 서버 침입 사건에서도 사용자 데이터가 해킹되었다는 증거가 발견되지 않았습니다. 현재 우리의 서비스는 완전하게 안전합니다.

이 글에서 다룬 보안 문제가 발생한 이후 꽤 많은 시간이 지났습니다. 이 사건에 관련된 몇 가지 핵심 사항을 다시 한번 짚어볼 필요가 있습니다.

• 사용자 데이터가 영향을 받았다는 증거는 이전에도 없었고 지금도 전혀 없습니다. 이 문제는 해결된 지 1년이 넘었고, 지금까지 달리 시사할 만한 추가 조사 결과는 나오지 않았습니다.
• 이 문제는 발견 즉시 해결되었으며 현재까지도 문제가 없습니다. 이러한 유형의 서버 취약 상황이 다시는 발생하지 않도록 전체 프로세스를 업데이트했습니다.
• 사건 이후로, 우리의 노력은 해당 보안 사건 처리에만 국한되지 않았습니다. 요구되는 것 이상으로 우리의 보안 시스템 전체를 강화하기 위한 여러 단계를 밟아왔습니다. 우리는 성공적인 버그 현상수배(Bug Bounty) 프로그램을 시작하였고, 우리의 모든 서버를 NordVPN이 직접 관리하는 코로케이션 서버로 이동하고 있으며, 또한 적절한 시기가 되면 발표할 수 있는 많은 다른 프로젝트들을 준비하고 있습니다.