[보안뉴스 주소형] 미국 온라인 증권사인 스콧트레이드(Scottrade)에서 약 2년 여간 460만명의 고객정보가 새어나갔다. 여기서 고객정보는 고객들의 개인 연락처 정보로 사회보장번호(Social Security Number)까지 포함되어 있는지에 대한 여부는 정확히 확인되지 않았지만 함께 유출되었을 가능성에 무게가 쏠리고 있다. 해당 정보들이 유출되기 시작한 시점은 2013년 말부터 2014년 초로 추정되고 있다.

스콧트레이드 측은 자사 고객들에게 이메일을 통해 이 같은 사실을 통보했다. “다행히 유출된 자료가 주식사기 등으로 악용된 사례는 발견되지 않았다”라고 스콧트레이드는 고객들을 안심시키면서도 “우리도 미국 연방수사국인 FBI에 의해 해당 사실을 통보 받고 서야 알게 되었다. 현재 자사도 고객들의 향후 피해 가능성에 가장 중점을 두고 사건을 파악해가고 있다”라는 입장을 밝혔다.

“460만 건의 정보가 유출되었는데 이제야 알아차린 데다가 스스로 알아내지 못한 점은 분명히 문제가 있다.” 시큐로닉스(Securonix)의 내부 위협부서 책임자인 스튜어트 드레이퍼(Stewart Draper)가 지적했다. “게다가 당시는 시기적으로도 핵티비스트(Hacktivist)나 사이버범죄 조직들이 금융기관을 집중 공격하던 때였다. 솔직히 FBI와 같은 연방정부가 모든 기업들의 유출정황을 정확히 포착해내는 것은 현실적으로 불가능하다. 따라서 기업들은 스스로 공격에 대한 대응력을 높여야 한다. 스콧트레이드의 경우 2014년에 내부 IT 에러로 거래 로그 정보를 제대로 제공하지 못해 벌금을 물기도 했다. 회사가 이런 일을 겪었으면 보안을 강화하고 공격에 대한 시스템은 개선해야 마땅한데 걸렸으니 해당 벌금을 납부하고 거기서 그친 것이다.”

“FBI는 이렇게 사건을 수사하고 결과를 발표하는 데 소요된 시간에 대한 해명은 하지 않는다. 물론 이번처럼 2년이라는 장시간이 걸린 사유에 대해서도 구체적인 설명 하지 않을 것이다. 오히려 수사 중간에 사건이 알려지면 상황이 악화될 수 있기 때문에 이런 유형의 사건 수사와 발표 패턴이 늘 그래왔다.” 트립와이어(Tripwire)의 리스트 전략 및 IT 보안부서의 관리자인 팀 에를린(Tim Erlin)이 말했다.

실제로 이번 스콧트레이드 사건도 그렇다. IT 전문 매체인 와이어드(Wired)에 따르면 FBI가 해당 사실을 스콧트레이드에 통보한 것은 지난 8월이다. 하지만 FBI는 수사가 종료되기 전까지 수사상황을 공유하거나 통보하지 않아 스콧트레이드도 지난 금요일에서야 유출된 정보와 사건의 정황을 파악할 수 있었다.

“사이버 범죄는 일반적인 절도 범죄와는 다르다. 한번 잡으면 상황이 종료되는 강도와는 달리 한번 시작되면 전염병처럼 퍼져나가기 때문이다.” 에를린이 설명했다.

“스콧트레이드 고객들은 현재 절벽 위에 서 있는 것과 같다. 앞으로 어떤 일이 닥칠지 모른다. 누가 해당 정보를 갖고 있는지 모르는 상황이기 때문에 더욱 위험하다.” 라피드 7(Rapid 7)의 트레이 포드(Trey Ford) 글로벌 보안 전략가가 말했다. “현재 우리가 알 수 있는 것은 18~24개월 전에 정보가 유출되었다는 점이다. 정확히 누가 무엇을 목적으로 탈취했는지는 모른다.”

한편 이에 대한 스콧트레이드의 공식 입장문은 여기를 누르면 연결된다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>