대형 마트에 사진 서비스 제공하는 업체서 해킹 의심

기존 리테일 업체에 최신 보안 시스템 적용하는 것 어려워

[보안뉴스 문가용] 외주업체를 통한 유출사고가 또 말썽이다. 지난 주 월마트와 CVS의 웹 사이트에서 사진 인화 서비스를 제공해주는 업체인 PNI 디지털 미디어(PNI Digital Media)에서 해킹의 정황이 발견되자 덩달아 코스트코, 라이트에이드(RiteAid), 테스코 등의 대형 리테일 샵 체인들이 사진 인화 서비스를 잠정 중단하고 혹시나 모를 해킹 사고에 대한 수사를 시작한 것.

PNI 디지털 미디어에 따르면 이 사진 서비스 제공업체는 1년간 1만 9천여 개의 장소에서 이루어지는 1천 8백만 건의 거래를 관리한다. 아직 해킹의 여부가 확실히 결론 난 것은 아니지만 외주업체가 가진 보안 위험성을 나타내는 예시로서는 부족함이 없다는 것이 전문가들의 평이다.

“요즘처럼 백만 단위 정보유출 사고쯤은 우습게 들리는 때일수록, 실수 한 번에 회사의 평판이 철저하게 갈립니다. 우리는 안전한데 외주업체가 뚫렸다? 이런 말은 변명이 되기는커녕 오히려 소비자들의 화만 더 돋울 뿐입니다. 이제 보안 문제에 대해서는 어떠한 변명도 통하지 않는다고 보는 편이 맞습니다.” IDT911의 공동 설립자인 아담 레빈(Adam Levin)의 설명이다.

이번 사건이 특히 주목을 받는 건 기존부터 도소매 업계의 강자로 꼽히던 대형 마켓 체인들이 인터넷 기반 전자 거래나 웹 사이트 기반 서비스 시스템을 구축하는 데에 있어 많은 어려움이 있다는 게 드러났기 때문이다.

“기존의 오프라인 강자들이 가진 체제에 새로운 전자거래 시스템을 도입하는 건 굉장히 어려운 일입니다. 그런데 여기에 외주업체 등 제3자가 개입되면 문제는 더 복잡해지죠. 더군다나 고객들이 직접 이 외주업체의 서비스에 접속할 수 있게 된다면 일은 몇 배로 더 커지고요. 이런 곳에 딱 알맞은 맞춤형 서비스는 존재하지 않습니다. 심지어 보안 시스템 도입이 불가능할 때도 있어요. 이런 경우에는 지속적인 감사 및 확인이 병행되어야 하는데, 사업을 매일 진행해야 하는 입장에서 이는 비현실적인 옵션이죠.” 트립와이어(Tripwire)의 켄 웨스틴(Ken Westin)이 설명한다.

“얄궂게도 공격자들은 이런 점을 아주 잘 이해하고 있습니다. 그래서 자신들이 겨냥한 곳의 네트워크 상태를 집요하게 공부하고 파헤칩니다. 어떤 통로로 들어올 수 있을지 가능한 모든 경로를 모색합니다. 그리고 보통은 외주업체를 선택하죠. 쉽고 간편하고 눈에 잘 띄지도 않으니까요.”

그래서 작년부터 굿윌(Goodwill), 데어리 퀸(Dairy Queen), 홈데포(Home Depot), 타깃(Target) 등 외주업체를 통한 공격이 빈번하게 일어나고 있다. 하지만 그 사건들과 이번 사건이 다른 건, 타깃처럼 본사가 처벌을 받는 게 아니라 외주업체가 처벌의 대상이 될 가능성이 높기 때문이다.

“새롭게 도입된 PCI 표준인 PCI DSS 때문입니다. 이번에 나온 PCI DSS 표준에서는 외주업체의 책임과 리스크에 대해서도 언급을 분명히 하고 있거든요. 아직 이게 완전히 정착되지 않았다는 게 변수이긴 하지만 앞으로는 외주업체라고 해서 보안사고와 관련해 면책받지는 못할 겁니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>