유명 패스트푸드 브랜드인 파이브가이즈에서 데이터 침해 사고가 발생했다. 피해자들은 이곳에서 일해 보고자 이력서를 제출했던 사람들이다. 후속 공격이 예상되는 가운데, 파이브가이즈 측은 별 다른 움직임을 보이지 않고 있다.

[보안뉴스 문가용 기자] 올해 한국으로 진출할 것으로 보이는 유명 햄버거 프랜차이즈인 파이브가이즈(Five Guys)가 미국에서 사이버 공격에 당했다. 공격자들은 파이브가이즈의 파일 서버 한 곳에 침투해 입사 지원자들의 개인 식별 정보를 대량으로 빼돌려 빠르게 달아났다. 이른 바 ‘스매시 앤 그랩(smash-and-grab)’ 공격에 당한 것이다.


파이브가이즈 측은 개인정보를 도난당한 개개인들에게 해당 사건을 알리는 메일을 보내며 사건 발생 당일이 9월 17일이고, 공격을 차단한 것도 같은 날인 9월 17일이라고 밝혔다. 또한 “공격자들이 접근했던 파일들을 면밀히 조사했고, 12월 8일 당사 채용 과정과 관련하여 회사로 제출된 문건들이 포함되어 있었음을 알게 됐다”고 밝혔다. 개개인의 이름과 각종 데이터가 영향을 받았다고도 언급했다. 각종 데이터 안에는 사회 보장 번호와 운전 면허 번호도 포함되어 있다고 한다.

파이브가이즈는 전 세계에 약 5천 명의 직원들을 두고 운영되는 대형 프랜차이즈다. 따라서 적잖은 인원들을 항시 채용하는 것으로 알려져 있다. 그렇다는 건 이번 사건으로 많은 사람들이 개인정보 침해 사건의 피해자가 되었다는 뜻이 되는데, 아직 파이브가이즈 측은 정확한 피해자 수를 공개하지 않고 있다. 또한 보안 강화의 계획과 방향성에 대해서도 함구 중이다. 사법 기관과 협력 중이며 신용도 모니터링 서비스를 피해자들에게 제공하겠다는 약속 뿐이다.

보안 업체 호라이즌3에이아이(Horizon3ai)의 고객 지원 관리자인 브래드 홍(Brad Hong)은 “어떤 이유에서든 엉뚱한 제3의 피해자를 낳는 데 연루된 기업이라면 그 무엇보다 보안을 강화하겠다는 약속을 해야 한다”고 말한다. “에퀴팩스(Equifax) 사고가 정말 좋지 않게 작용하고 있습니다. 어떤 사고가 일어났든, 기업이 무슨 실수를 했든, 그냥 신용도 모니터링 서비스만 하고 시간을 뭉개면 고객들이 잊어버리고 용서한다는 분명한 선례가 됐거든요. 파이브가이즈도 비슷하게 대처하고 있지요. 앞으로 더 많은 기업들도 그럴 겁니다.”

파이브가이즈, 과거에도 침해 사고의 피해자가 돼
보안 업체 불월(BullWall)의 부회장 스티브 한(Steve Hahn)은 “파이브가이즈에서 보안 사고가 발생한 게 처음이 아니”라고 말한다. “당시 공격자들이 파이브가이즈에서 데이터를 훔쳐냈고, 이를 활용해 트러스트코(Trustco)라는 은행에 사기를 쳐 10만 달러를 가져가는 데 성공했습니다. 이 때문에 은행 측은 파이브가이즈를 고소했죠. 둘의 법적 공방은 지금도 이어지는 중입니다.”

보안 업체 넷엔리치(Netenrich)의 수석 위협 분석가인 존 밤베넥(John Bambenek)은 “데이터를 손에 쥔 공격자들은 수많은 악성 행위를 할 수 있다”고 말한다. “이력서를 회사들에 제출한 사람들 중에는 직장을 절박하게 구하는 이들이 많습니다. 회사인 척 연락해 가짜 합격 소식을 알리면 흥분해서 사기인지 아닌지 확인할 생각도 못하는 경우가 대부분이라는 거죠. 이런 심리적 상태를 공격자들은 잘 이해하고 있습니다. 이번 사건으로 공격자들이 이력서를 몇 장이나 가져갔는지 모르겠지만 분명히 피해자들을 겨냥한 사기 시도가 있을 겁니다.”

스티브는 “오히려 파이브가이즈를 사칭해 가짜 사과 메일을 보내려는 시도도 있을 수 있다”고 말한다. “이런 일이 일어나게 되어서 죄송합니다. 앞으로 보안을 강화하고자 귀하의 비밀번호를 바꾸려 하오니 다음 링크를 클릭하셔서 안내에 따라주십시오. 이런 식으로 메일을 보내면 피해자들이 속을 수 있습니다. 공격자들이 파이브가이즈 도메인을 본 따기라도 한다면 속임수는 더 치밀해지는 효과를 낳습니다.”

보안 업체 태니움(Tanium)의 수석 보안 고문인 짐 모리스(Jim Morris)는 “속임수도 속임수이지만 협박도 있을 수 있다”고 경고한다. “특정 개인이나, 그 개인이 소속된 조직, 혹은 파이브가이즈에 연락해 ‘내가 정보를 가지고 있고, 돈을 내지 않으면 전부 공개하겠다’고 직접 협상을 시도할 수도 있습니다. 속임수를 기획하는 것보다 훨씬 간단하고 효과도 있는 방법입니다. 아니면 공격자들이 조용히 다크웹에서 데이터를 다른 사람에게 판매하는 쪽을 선택할 수도 있고요.”

스매시 앤 그랩 공격
아직까지는 공격자들이 한 개의 파일 서버에만 침투한 것으로 보인다. 횡적으로 움직였다는 증거는 나오지 않았다. 공격자들은 침투가 쉬운 표적들을 무작위로 공격하여 가져갈 수 있는 것만 재빨리 가져가고 더 이상 미련을 두지 않고 현장을 떠난 것으로 보인다. 얼른 들어가 뭐든 가져갈 것만 챙기고 곧바로 도망가는 공격 전략을 ‘스매시 앤 그랩’이라고 한다.

보안 업체 콜파이어(Coalfire)의 부회장 앤드류 배럿(Andrew Barratt)은 “햄버거 프랜차이즈처럼 다수의 오프라인 매장을 운영하면서 동시에 온라인 포털이나 서비스를 통해 다수의 고객들에게 편의성을 제공하는 기업들에 있어 보안은 쉽지 않은 일”이라고 설명한다. 그렇기 때문에 스매시 앤 그랩과 같은 전략에 쉽게 노출되는 것이라는 뜻이다. “그런 기업들은 공격자들이 접근할 수 있는 경로를 너무 많이 가지고 있어요. 보다 효과적인 방어 전략과 기술이 필요합니다.”

하지만 브래드는 파이브가이즈에 그리 호의적이지 않다. “이번 공격이 누구도 상상하지 못했고, 누구도 경험하지 못했던 그런 성질의 것이었다면 파이브가이즈도 어쩔 수 없었을 겁니다. 하지만 파이브가이즈는 전 세계적으로 20억 달러 이상의 수익을 거두는 초대형 기업입니다. 아무리 접근 경로가 많고 복잡해도 보안에 충분히 투자만 했다면 ‘스매시 앤 그랩’과 같은 기초적인 공격에 당하지는 않았을 겁니다. 저는 파이브가이즈가 실제 보안에 얼마나 예산을 할당하는지가 제일 궁금합니다.”

3줄 요약
1. 유명 햄버거 브랜드, 파이브가이즈에서 데이터 유출 사고 발생.
2. 공격자들은 노리기 쉬운 기업들을 노려 재빨리 데이터를 훔쳐 도망간 듯.
3. 프랜차이즈는 원래 방어하기 어려워 vs. 파이브가이즈는 대형 기업이라 어려움 없어.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>