• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 내 유명 프랜차이즈 매장에서 잇따른 유출사고 2014.08.28

매장 업주들은 본사, 금융업계, 소프트웨어 개발자에게 책임 물어


[보안뉴스 문가용] 지난 주와 이번 주, 미국에서는 PoS가 연달아 뚫리고 있어서 난리다. 미국 소포 서비스(United Parcel Service), 데어리퀸(Dairy Queen) 등 유명 프랜차이즈 매장의 백오프(Backoff) 멀웨어가 연달아 발견되면서 프랜차이즈 혹은 유명 브랜드 본사뿐만 아니라 전국 곳곳에 퍼져있는 개개의 매장 역시 취약하다는 사실이 드러났다.

 


매장의 보안이 취약한 것에 대해서는 보통 보안에 투자를 아끼기 때문이라거나 PoS와 연계된 금융기관 혹은 프랜차이즈 본사가 문제의 진정한 이유라는 소리가 많다. 혹은 매장용 PoS 애플리케이션을 개발하는 사람들의 매장 운영에 대한 몰이해에서 온다는 의견도 있다.


전미소매업협회(National Retail Federation)에서는 소매업 매장들에게 정보 보안에 더 신경을 쓰라고 하면서도 한편으로는 금융 업계가 결국은 책임져야 한다고 주장하고 있다. 이미 철지난 자기 띠 기술을 교체할 생각도 없고, 때문에 소매업자들이 과도한 정보를 고객으로부터 수집할 수밖에 없다는 걸 이유로 들고 있다.


어제 US-CERT는 PoS 멀웨어인 백오프에 관한 주의보를 발령했다. 미국 비밀경호국은 적어도 천 개의 사업장이 백오프로 인한 피해를 입었다고 보고 있으며 PoS 공급업체 7군데에서도 자신들의 고객들이 백오프에 당했다는 사실을 확인했다.


프랜차이즈의 본사에서는 억울하다는 입장이다. 매장마다 네트워크를 독립적으로 운영하고 있지, 그것까지 본사에서 관리하지는 않기 때문이다. 하지만 누구의 잘못이건 피해를 입은 고객들에게는 브랜드의 이름이 먼저 각인되기 마련이다.


“그렇기 때문에 프랜차이즈 매장 관리를 더 꼼꼼하게 해야 합니다. 피해를 보는 건 결국 브랜드 자체입니다.” 카운터택(CounterTack)의 CTO인 마이크 데이비스(Mike Davis)의 설명이다. “매장의 네트워크나 보안 시스템을 일일이 관리하지 않는다는 말은 사실 ‘결백하다’는 주장의 근거가 될 수 없습니다. 오히려 얼마나 보안에 신경을 쓰지 않는지를 자백하는 말이죠.”


게다가 대중의 인식 때문에만 브랜드 자체에 피해가 발생하는 건 아니다. 법정에서도 매장이나 본사를 따로 구분하지 않는 경우가 있다. 래피드7(Rapid7)의 보안 전략가인 트레이 포드(Trey Ford)에 따르면 연방거래위원회는 ‘우리는 매장의 보안 경영에 간섭하지 않는다’라는 주장에 콧방귀도 안 뀐다고 한다. “예전에 윈덤 호텔에서 발생한 정보유출 사고 때문에 소송을 벌였을 때 윈덤 호텔 측은 비슷한 주장을 했었습니다. 연방거래위원회는 그건 한두 호텔의 문제가 아니라 윈덤이라는 브랜드 자체의 문제라고 주장을 했었죠.”


그러나 이게 매장의 주장대로 매장 관리에 소홀한 본사와 구식 기술을 아직도 교체하지 않고 있는 금융 업계만의 문제일까? 오히려 정보 보안에 대해 아무도 책임을 지려 하지 않는다는 것이 더 큰 문제는 아닐까?


게다가 PoS 소프트웨어를 개발하는 업체들이라고 마냥 책임소재로부터 자유로운 것이 아니다. 어제 CAST소프트웨어에서 발표한 보고서에 따르면 매장용 애플리케이션 중 70%가 여전히 SQL 인젝션 및 하트블리드 등 취약점을 내포하고 있다. 이는 다른 산업에서 사용하는 애플리케이션보다 월등히 높은 수치이며 그 바로 뒤를 금융 업계가 바짝 뒤쫓고 있는 것으로 조사됐다. 서로 책임을 묻고 있는 두 업계가 가장 취약한 애플리케이션을 사용하고 있는 게 우연처럼 보이지는 않는다는 게 전문가들의 의견이다.


CAST소프트웨어의 부회장인 레브 레소킨(Lev Lesokhin)은 “함무라비 법전에도 집이 무너져 그 집 소유주가 죽으면 그 집을 지은 사람에게 책임을 물었습니다. PoS 소프트웨어에서 사고가 났다면 그 매장의 주인이나 브랜드가 아니라 소프트웨어를 만든 사람에게도 책임이 있을 수밖에 없습니다”라고 주장한다.


결국 소비자나 창업을 꿈꾸는 사람이나 알고 싶은 건 하나다. “앞으로는 좀 나아질까? 이렇게 굵직한 사고가 거의 매일 일어나는데, 보안 구멍은 하루에도 몇 개씩 발견되는데, 이게 해결될 수 있는 문제일까?” 레소킨은 “실제 이런 사고가 너무 많이 일어나다보니 사람들이 보안에 대해 점점 무기력해지고 있습니다. ‘해봐야 소용없다’는 인식이 점점 퍼지고 있는 것이죠. 이럴 때 물을 수 있는 건 ‘나아질까?’가 아니라 ‘어디까지 무기력해질까?’라고 봅니다”라고 답했다. 여러 모로 위기 상황이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>