• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

관광업계가 해커들의 새로운 표적이 되고 있는 이유 2015.04.03

상호 유기적인 관계에 얽혀있는 관광산업

금융사보다 더 고급정보로 해커들의 먹잇감


[보안뉴스 주소형] 최근 관광산업이 해커들의 주요 공격대상으로 떠오르고 있다. 실제로 돈이 되기 때문이라고 한다.

 

 

최근 영국 대표 항공사인 브리티시 에어웨이스(British Airways)에서 수 만개의 특별 회원 계정이 유출된 바 있다. 외부침입자가 기밀문서에 해당되는 VIP급 고객들의 보상 포인트 정보를 해킹한 것이다.

불과 2달 전에도 미국 항공사인 유나티드 에어라인(United Airlines)과 아메리칸 에어라인(American Airlines)도 비슷한 해킹사건이 발생했다. 특별 관리 고객들의 마일리지, 공짜 티켓, 좌석 업그레이드, 제휴 항공사들과의 할인권 등의 정보를 외부침입자가 해킹한 것.

지난해 11월에는 전 세계에 체인을 보유하고 있는 힐튼(Hilton) 호텔의 보상프로그램이 공격당했다. 당시 해당 정보는 네 자리의 비밀번호에만 의지하고 있어 아주 간단한 공격으로 뚫렸던 것으로 알려졌다. 해커들은 그 정보들을 온라인에 판매하기도 하고, 다른 물건의 기프트카드를 구매하는 데 사용했다. 

“관광산업군의 VIP급 고객을 관리하는 프로그램의 보안 수준은 상당히 낮다. 여기서 정보를 빼내는 것을 해킹이라고 표현하기 민망할 정도다”라고 기업관리솔루션 업체인 트립와이어(Tripwire)의 켄 웨스틴(Ken Westin) 수석 보안관리자가 말했다. “그렇게 빼낸 포인트나 마일리지 등의 정보는 모두 현금화 시킬 수 있어 해커들의 높은 관심을 받고 있는 것이다.”

이는 결제카드정보 등과 같이 평소 우리가 유출될까 걱정했던 종류의 개인정보가 아니라는 점을 주목해야 한다. 꼭 카드 정보가 아니더라도 얼마든지 피해로 이어질 수 있다는 뜻. 

보상 정책 혹은 포인트, 마일리지 등의 현금화가 가능하다는 이점도 있지만 여행 업체에서 VIP 대접을 받을 정도로 여행을 자주 다니는 사람들은 대부분 엄청난 부유층이라는 것도 여행업체가 요즘 자주 해킹당하는 이유 중 하나라는 해석도 그럴듯 하다.

“또한 VIP급의 고객들은 여러 특별 프로그램들을 한 개의 아이디와 비밀번호로 이용하고 있을 확률이 높다. 이에 따라 한 번 유출되면 해커들이 악용하기 좋은 정보인 것이다”라고 트립와이어의 웨스틴 수석 보안관리자가 설명했다. 대부분의 해당 사이트들은 비밀번호 정책조차 허술하여 공격하기도 너무 쉽다고 덧붙였다.

그는 고객들이 비밀번호를 강화한다고 해서 해결되는 문제는 아니라 비밀번호를 관리하는 회사도 함께 풀어야 할 숙제라고 강조했다. 회사들은 캡차(CAPTCHAS)와 이중 보안절차 등을 도입하고 일정 시간이 지나면 자동 로그아웃 되는 등으로 좀더 철저한 관리가 이루어져야 한다고 말했다.

“영국항공사 해킹 사례와 같이 특별 고객 관리 프로그램들에 대한 공격이 늘어나고 있다.” 트립와이어의 팀 엘린(Tim Erlin) 보안 연구원이 말했다. “그런 프로그램들은 서로 유기적인 관계로 연결되어 있는데 이들에 대한 보안이 제대로 갖춰져 있지 않다. 공격에 대한 대비를 지금이라도 해두는 것이 좋을 것이다.”

“우리는 툭하면 사용자들의 보안의식이 너무 낮다는 말을 반복하고 있지만 현실적으로 보안의식과는 별개인 상황이다”라고 시큐로닉스(Securonix)의 아이골 배칼로브(Igor Baikalov) 수석과학자가 말했다. 그는 뱅크오브아메리카의 글로벌 보안 부사장 출신이기도 하다. “우리가 정보를 얻기 위해 하루에 접속하는 사이트가 얼마나 많은데 그걸 일일이 다른 비밀번호를 사용해가며 관리할 수 있겠는가”라고 지적했다.

그는 로그인 절차에 대해서 비밀번호만 입력하면 끝이 아니라 사용자의 위치, 접속기기 등을 확인하는 기능을 추가할 것을 권장했다. 사용자가 접속하던 장소나 기기가 아닌 곳에서의 로그인 시도가 들어올 경우에는 한 단계 더 신원을 확인 필요가 있다는 것이다.

“이것만으로도 계정을 도용하여 발생되는 해킹 피해는 줄일 수 있다”라며 “한 번 더 신원을 확인하기 위해 기존에는 질문에 대한 답이나 인증번호를 휴대폰으로 보내 확인하는 절차를 주로 사용하고 있는데 이도 다양해질 필요가 있다”고 말을 이었다.

이제 해킹은 금융관련 기관만 주의할 게 아니라 그 대상이 모든 곳으로 확대됐다. 오히려 금융권보다 더 주의를 기울여야 한다. 실제로는 돈이 아닌 것처럼 보여도 해당 정보에 대한 가치는 더 높은 경우도 있기 때문이다.

“이번 영국항공사 해킹 사건이 어떻게 보면 고마운 일이다. 금융 관련 정보가 아닌 예상치 못한 정보에서도 얼마든지 우회 악용될 수 있다는 것을 알게 됐기 때문이다”

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>