• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커들, 정보가 모여드는 곳을 노려 효율을 높인다 2014.12.14

직접 타격이 오히려 드물어질 정도로 늘어나는 우회 공격

CA 유출사고, 서드파티 관리에 소홀한 이상 계속 일어날 사건


[보안뉴스 문가용] 결제 대행 솔루션 제공업체인 차지 에니웨어(Charge Anywhere, 이하 CA)가 지난주 발표한 정보유출 사고는 2009년부터 시작된 것일 수 있어 업계에 충격을 던졌다. CA는 결제 대행 서비스, 클라우드 POS 솔루션, 모바일 POS 등 은행, 기업, 그밖에 결제 처리자들을 대상으로 한 솔루션을 제공해오던 업체로 이번 공격은 그 엄청난 기간도 기간이지만 해커들이 상가나 상점을 직접 노리는 게 아니라 아예 POS 서비스 업체를 노리는 움직임이 드러났다는 것에 전문가들은 주목하고 있다.

 

▲ 사이버 공간, 해커들에게는 활짝 열리고 있는 기회의 땅.


지난 9월, POS 시스템 제공업체인 시그니처 시스템즈(Signature Systems)는 자신들이 원격으로 POS 시스템에 접속하기 위해 사용하던 사용자 이름과 암호를 한 해커가 훔쳐내는 사건이 있었다는 사실을 보고했다. 그리고 그 해커는 훔쳐낸 사용자 이름과 암호를 사용해 데이터를 훔쳐내는 멀웨어를 설치했다. 더 거슬러 올라가 6월에는 영상 감시 업체인 인포메이션 시스템즈 앤 서플라이즈(Information Systems & Supplies)에서 고객 정보가 유출된 사건이 있기도 했다.


“이렇게 POS 솔루션 제작 업체를 노리는 공격은 앞으로도 더 빈번해질 것이라고 봅니다. 왜냐하면 모바일 결제 자체가 늘고 있기 때문입니다. 모바일 결제는 사용자가 편리하고 지불 및 결제가 신속하게 이루어진다는 장점이 있습니다. 두 번째 장점은 사업체 규모가 작으면 작을수록 굉장히 절실한 부분이기도 하고요.” 카운터택(CounterTack)의 부회장인 톰 베인(Tom Bain)의 설명이다. “사업의 절실한 부분에 도움이 되는 애플리케이션일수록 사람들의 마음을 쉽게 삽니다. 맹목적인 신뢰가 형성되는 것이죠. 보안에 필요한 것들이 전부 갖추어져 있을 거라고 당연하게 생각합니다. 그래서 지난 6개월간, 모바일 멀웨어 공격은 전 세계적으로 6배나 늘었습니다.”


CA에 의하면 몇몇 CA 제품을 사용하는 상점에서 합법적으로 사용된 카드에 사기성 청구 내역이 발견되면서 수사가 시작되었다고 한다. 수사가 진행되면서 사실이 조금씩 드러나기 시작했는데, 먼저는 해커가 네트워크에 접근하는 데에 성공해 멀웨어를 설치한 사실이 밝혀졌다. 이 멀웨어에는 바깥으로 향하는 네트워크 트래픽의 일부를 캡처하는 기능이 있었다고 한다. 바깥으로 향하는 네트워크 트래픽 대부분은 암호화되어 있었지만 특정 메시지의 연결 방식 및 포맷을 통해 권한이 없는 사람도 캡처가 가능했고, 이로 인해 카드 거래 허가 요청 내용이 평범한 텍스트처럼 노출되었다.


“길고 긴 수사가 진행되는 동안 2014년 8월 17일부터 2014년 9월 24일 기간의 네트워크 트래픽 일부가 캡처된 내용이 담긴 파일을 찾아낼 수 있었습니다.” CA 측의 설명이다. “즉 실제 네트워크 일부가 캡처되었다는 정확한 물증은 발견할 수 있었던 것입니다. 그러나 또한 이런 식으로 네트워크 트래픽 캡처 공격이 가능한 시점 자체는 2009년 11월 5일이었다는 것도 알아냈습니다.”


개인 클라우드 및 IT 관리 서비스 제공업체인 코어델리전트(Coretelligent)의 크리스 메서(Chris Messer)는 이 사건에서 가장 주목해야 할 것은 바깥으로 향하는 네트워크의 암호화와 아직 공유되지 않고 있는 기술적인 세부사항들이라고 주장한다. 제3자, 즉 서드파티에 정보 관리를 맡기고 있는 모든 조직 및 업체들이라면 본사 네트워크 및 보안 상태를 점검하듯 서드파티의 그것 역시 철저하게 점검하고 관리해야 한다는 것이다.


“CA 측에서 하는 말들을 들어보면 이상한 점이 많습니다. 암호화도 제대로 시행하지 않은 듯이 보이며, 거래 정보가 담긴 트래픽을 누군가 수집하고 훔쳐볼 수 있었다는 것 자체가 기술적인 결함이 있음을 증명합니다. 게다가 생산과 관련된 네트워크가 따로 분리되어 있지도 않은 것 같습니다. 그러니 해커가 하나의 네트워크에만 침투하면 모든 시스템을 주무를 수 있게 된 겁니다.”


랭콥(Lancope)의 CTO인 키니니(Keanini) 역시 이 사건이 울리고 있는 경종에 대해 한 마디 거들었다. “저 역시 이런 종류의 사건이 더 많이 일어날 것이라고 봅니다. 사람들 사이의 연결망이 점점 더 확산되고 있다는 게 한 가지 이유입니다. 서로서로 너무 조밀하게 연결되어 있다보니 공격자 입장에서 피해자에게로 가는 경로가 굉장히 다양해지고 있지요. 또 다른 이유로는 이런 밀도 높은 연결 속에서 공격자들이 원하는 시스템에 개별적으로 침투할 필요 없이 정보를 모으고 관리하는 곳으로 들어가도 된다는 겁니다.”


키니니의 설명이 이어졌다. “생각해보면 당연합니다. 천 사람의 정보가 모여 있는 곳만 한 번 뚫으면 되는데 굳이 천 번 공격할 필요가 없는 것이죠. 해커들은 머리를 쓰고 또 쓰는데 우리는 계속 안이하고 게으르고 있습니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>