백오프 아닌 로포스, 위험 수위 낮다더니 87만여 건 유출

굿윌 본사가 아닌 서드파티 업체를 통한 보안사고

[보안뉴스 문가용] 지난 7월에 미국을 떠들썩하게 했던 굿윌(Goodwill) 체인의 고객정보 유출사고의 원인으로 유력하게 지목되었던 백오프 멀웨어는 ‘무혐의’인 것으로 드러났다. 두 달 동안 진행된 수사에 의하면 이 사건을 일으킨 해커들이 사용한 멀웨어는 로포스(Rawpos)였다. 지난 2월 처음 발견된 로포스에 대해 시만텍은 ‘위험 수위가 매우 낮다’고 평한 바 있다. 하지만 로포스의 결과는 미국 20개 주에 걸친 330개의 매장에서 87만여 건의 신용카드 정보 유출이었다.

굿윌은 9월 첫째 주 이번 사건에 대한 자세한 보고를 마쳤다. “굿윌의 내부 시스템에서는 어떠한 멀웨어의 흔적도 발견할 수 없었습니다. 그런데 이번 사건에 연루된 굿윌 매장들은 전부 공통된 서드파티 업체와 금융 정보 처리 등의 업무에 있어 협력 관계에 있었습니다.”

굿윌은 이 서드파티 업체의 이름을 밝히지는 않았다. 다만 POS 시스템 제공자라는 것만 홍보부 로렌 로슨(Lauren Lawson)을 통해 드러냈다. “이번 멀웨어는 2013년 2월 10일부터 2014년 8월 14일까지 서드파티 업체 시스템에 간헐적으로 드나들었습니다.”

굿윌 측은 “아직 도난당한 신용카드 정보로 인한 사기 행각은 거의 보고된 바 없습니다”라고 현재 피해 상황에 대해서도 언급했다. “오늘날 이런 종류의 유출사고에 본점이나 매장, 또 고객 모두 현명하고 조심스럽게 대처해야 한다는 걸 인지하고 있습니다. 그리고 저희는 이런 사고가 또 발생하지 않도록 심혈을 기울이고 있습니다.” 굿윌의 CEO인 짐 기본스(Jim Gibbons)의 발표문 중 일부다.

“굿윌의 목표는 장애나 열악한 환경에 처한 사람들에게 직업 훈련을 제공하는 것임에는 변함이 없습니다. 이런 사고로 저희의 기는 꺾이지 않을 것이며 앞으로도 저희가 믿고 있는 일들을 계속해서 해나갈 것입니다. 그리고 이번 일을 거울삼아 더욱더 고객들과 봉사자들, 기부자들을 최우선적으로 보호할 것을 약속합니다.”

한편 여전히 미국 상가들을 주로 노리고 있는 건 백오프다. 지난 8월 27일 POS 시스템의 취약점이 계속해서 드러나는 가운데 PCI 카운슬에서는 백오프 멀웨어에 대한 권고 사항을 발표한 바 있다. “PCI가 인증하는 POS 기기를 설치해서 정보의 암호화를 필수적으로 이행할 것”이 그 발표문의 골자였다. 백오프가 제2의 하트블리드나 고제우스가 될 것인지 보안업계가 긴장하고 있다.

미국 PCI 카운슬이 인증하는 기기 및 솔루션은 여기 링크를 통해 자세히 알아볼 수 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>