주차 관리 시스템을 고객 정보 담긴 서버에 설치하는 부주의

표준 절차 무시 등 보안에 방만한 태도 보인 업체에 “회초리”

[보안뉴스 문가용] 영국 ICO(정보위원회)는 최근 온라인 여행사인 씽크W3(Think W3)에 영국 정보보호법과 PCI-DSS 위반으로 1십 5만 파운드(약 2억 6천만원)의 벌금을 과했다. 이는 지난 2012년 12월 씽크W3를 대상으로 한 SQL 인젝션 공격으로 1백만 명이 넘는 씽크W3 고객의 개인정보 및 신용카드 정보가 유출된 사건에 대한 최종 판결 내용에 해당한다.

당시 SQL 인젝션이 최초로 발생한 것으로 보이는 사이트는 회사 임원 및 직원들의 주차 공간을 관리하는 시스템으로 2006년에 만들어져서 계속 내부적으로만 사용되었다. 하지만 이 내부용 사이트가 하필이면 회사의 주로 거래 내역과 고객의 개인정보가 저장되어 있는 서버에 설치되었다는 것이 문제의 발단이었다.

수사 결과 회사 측에서는 이 주차 시스템에 대한 모의 침투 실험 같은 것이나 취약점 검사를 전혀 하지 않은 것으로 드러났다. 물론 씽크W3는 내부용 사이트였기 때문에 그런 검사나 실험을 할 필요가 없었다고 주장했다.

하지만 그 주장이 무색하게 해커들은 그 주차 사이트를 뚫어냈고 거기서부터 서버에 접근한 후 관리자 정보를 알아냈다. 그리고 고객 쿼리를 만들어 카드 사용자의 정보를 빼내는 데 성공했다. 저장 방법이나 암호화 처리 모두 전혀 안정적이지 못했기 때문에 크게 어려울 것이 없었다. 해커들은 CVV 숫자를 제외한 신용카드 정보를 전부 입수했고 여기에는 이름, 주소, 이메일 주소, 전화번호 등이 포함되었다.

이 주차 시스템은 2006년부터 업데이트가 단 1회도 이루어지지 않았다. 또한 고객의 정보는 같은 서버에 같은 방식으로 저장되어 왔다. 해커들이 2012년 12월 침투했을 때 역시 마찬가지였고, 그래서 손쉽게 백만 건이 넘는 정보를 손에 넣을 수 있었다. 불행 중 다행으로 백만 건 중 733,397건은 만료가 된, 더 이상 유효하지 않은 정보였다.

그러나 이렇게 유출된 정보를 활용한 사기성 범죄가 아직까지는 보고되지 않고 있다. 영국의 정보보호법에 의하면 유출된 정보를 관리하고 있던 주체에게 책임을 물을 수 있고 금전적인 보상이나 벌금을 요구하는 게 경우에 따라 가능하다. 그 경우들은 정보보호법을 심각하게 위반했거나, 상당한 피해나 고통을 초래한 것으로 판단될 때, 의도적인 유출이라고 보이거나 유출을 애초에 방지할 수 있었는데도 조치를 취하지 않았을 때 등이다.

법에서 허용하는 벌금 최고 액수는 5십만 파운드다. 이번에 십오만 파운드로 벌금이 정해진 건 씽크W3 측에서 PCI-DSS를 지키고 있지 않았고 해당 사이트의 보안성을 충분히 검토하지 않았으며 소프트웨어 패치나 백신 업데이트와 같은 노력도 하지 않았기 때문이다. 또한 침입 감지 시스템이나 파일 검사 소프트웨어, 암호화 키 관리 프로그램 등의 툴이나 회사 내 정책 같은 것도 마련하지 않은 것으로 밝혀졌다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>