HMA(HideMyAss) Lulzsec 해커 사건

2011년에 일어난 오래된 사건 입니다. 하지만 VPN 회사가 자발적으로 FBI 등 수사기관에 고객 정보를 제공했다는 것은 지울 수 없는 오점입니다. VPN 회사의 이런 사례를 볼 때 마다, 보안 업체에게 집이나 가게를 보호해달라고 계약을 했더니 오히려 털어먹는 느낌이듭니다. 이번 글에서는 VPN 자체에 대한 리뷰가 아닌 HideMyAss의 FBI 사건에 대해서만 간단하게 적으려고 합니다.

수사 기관에 협조한 VPN 회사들

수사 협조를 한 것은 HMA 뿐만이 아니라 과거 유명 VPN 회사였던 PureVPN, IPvanish 등도 있습니다. ProtonVPN으로 유명한 프로톤사의 핵심 상품 ProtonMail 역시 프랑스 수사 당국에 고객 IP를 준 사례가 있습니다.

여기에 고개 정보를 제3자에게 마케팅 데이터 등으로 판매한 사례들까지 포함하면 정말 많은 VPN 회사들이 다르게 보일 것 입니다.

HideMyAss의 FBI 사건은 어떻게 알려졌나

Lulzsec(룰즈섹)은 누구?

룰즈섹은 6명의 스타팅 멤버로 시작한 해커그룹으로 Fox.com 해킹 후 개인정보 유출, 영국 ATM 로그, 소니의 플레이스테이션 네트워크 사용자 계정 유출, CIA 웹사이트 디도스 공격으로 3시간 동안 오프라인 상태, 미국 공영방송 PBS 해킹(투팍 살아있다고 가짜 기사 게시ㅋㅋ), 소니 해킹, FBI 파트너사 Infragard 해킹 등으로 유명해졌습니다.

이 중 가장 큰 피해자는 Sony 입니다. 소니 픽쳐스, 소니 뮤직 등 14건 정도였는데, 당시 소니와 소송중이었던 Geohot을 옹호하기 위한 해킹이라는 말도 있습니다.

Anonymous에서 떨어져나온 멤버들로 이루어졌다는 썰도 있으나 확실하진 않습니다. 어나니머스 자체가 정형화된 조직이 아니다보니 아마도 추측일 가능성이 큽니다.

그래도 이들이 비교적 비난을 크게 받지 않은 이유는, 돈을 위해 해킹 활동을 하지 않아서 일지도 모르겠습니다. 한 보안 회사가 내건 홈페이지 해킹 1위 상금도 필요없다고 받지 않은 것은 유명한 사례입니다.(아마도 신분 보호가 더 중요해서 그랬을지도..)

FBI가 어떻게 잡았을까?

IRC 채팅 로그가 공개되면서 주목을 받기 시작했습니다.

2011년 Lulzsec 멤버를 체포하게 됩니다. 그 중 한명인 Cody Kretsinger는 소니 픽쳐스 엔터테인먼트 SQL 인젝션 공격 해킹으로 큰 피해를 입힌 혐의로 징역 1년 + 사회봉사 1000시간을 받았는데 원래 최대 15년형이 예상되었지만 협조를 잘했나봅니다.

소니 측에서는 회사 웹사이트를 침입하고 고객 정보 데이터베이스에 액세스하는 해킹으로 인해 60만 달러 이상의 피해가 발생했다고 밝혔습니다.

당시 Kretsinger에 대한 기소장에는 공격을 수행하는 동안 본인의 신원을 숨기기 위해 Proxy를 사용했다고 나와 있는데, 이게 HideMyAss 입니다. 그리고 HideMyAss 서비스를 사용하여 IP 주소를 위장한 사람이 한 명 이상이 있다고 밝히기도 했습니다.

체포에 결정적인 도움을 준 것은 역시 HMA(HideMyAss) 입니다. 아래는 당시에 공식 블로그에 올라온 글을 번역기 돌려서 올린 스크린샷입니다.

노로그 VPN이라고 실컷 광고해놓고 갑자기 ‘서비스 약관 및 개인 정보 보호 정책’ 들먹이며 불법 활동에 사용되면 법원 명령에 따라 법 집행 기관과 협력한다고 이야기 합니다. 지금도 들어가보면 횡설수설 알아먹기 힘든 글들이 있습니다. 당시 관련자인지는 모르겠지만 누군가가 트위터로 “내 엉덩이를 숨겨준다더니 엉덩이를 팔아먹었다.”라고 트윗을 올리기도 했습니다.

어차피 사용하실 분도 없으시겠지만, 내 소중한 돈을 지불할 이유도 없는 상품입니다. 성능이 좋나? 프라이버시가 보호되나? 가격이 엄청나게 저렴한가? 모두 아닙니다.

저렴하고 성능까지 좋은 서프샤크가 있고 위로는 10년넘게 검증된 최고의 노로그 VPN(No Log 검증)인 노드VPN, 익스프레스VPN 두개가 있기 때문에 이 외에 다른 VPN을 사용할 이유를 찾기 어렵습니다.

상단 VPN 메뉴로 가시면 최근 업데이트 된 정보가 있습니다.