EMV 칩 카드와 신용카드사기, 미 국세청의 피싱 경보,
미국트럭협회의 ‘플릿 사이워치’, 데이터 키퍼 랜섬웨어,
미 관세국경보호청과 전자여권 검사용 소프트웨어

[보안뉴스 오다인 기자] 공격자는 이틀 만에 공격 툴을 뚝딱 만들어내고, 공공기관은 11년씩 보안 문제를 방치합니다. 공격하는 자와 방어하는 자 사이의 시간 격차는 먼 나라 이야기만은 아닙니다. 2월 셋째 주 뉴스쌈은 미국 소식이 많은데요. 우리나라 상황과 비교해서 읽어보시길 바랍니다.


EMV 칩 카드, 신용카드 사기 70%나 줄여
EMV 칩 카드를 도입한 이후 미국 상업계의 신용카드 위조사기 비율이 약 2년 새 70%까지 떨어졌다고 신용카드사 비자(Visa)가 보고했습니다. 2015년 12월부터 2017년 9월까지의 조사결과입니다.

EMV는 칩 카드 기술 기반의 신용카드 및 직불카드 표준 규격으로, 세계 3대 신용카드사인 △유로페이(Europay) △마스터카드(MasterCard) △비자(Visa)의 앞머리 글자를 딴 말입니다.

비자는 만연하게 발생하던 신용카드 위조사기에 대응하기 위해 2011년부터 EMV 칩 카드로 전환하기 시작했습니다. 현재 미국 내 270만 개 이상의 업체가 EMV 칩 카드를 도입한 상태인데, 이는 2015년 9월 39만 2,000개 업체가 도입한 데서 무려 578%나 확산된 수준입니다.

미 국세청, 피싱 이메일 경보 발령
미국 국세청(IRS) 온라인 사기 탐지 및 예방 센터(OFDP: Online Fraud Detection & Prevention Center)가 피싱 이메일 공격이 증가하고 있다고 경고했습니다. OFDP는 미 국세청과 관련된 피싱 공격을 모니터링하는 기관입니다.

OFDP는 2017년 1월부터 시작된 피싱 이메일 공격이 최근 증가하고 있다면서 사이버 범죄자들이 납세자를 겨냥할뿐더러 대규모 데이터 도난도 도모하고 있다고 밝혔습니다.

OFDP에 따르면, 사이버 범죄자는 기업 임원을 가장해 인사담당자에게 이메일을 보내고 ‘W-2’ 정보를 요청합니다. W-2란 미 국세청에 소득 신고용으로 제출하는 급여명세서 보고 양식을 가리킵니다.

OFDP 관계자는 이런 수법이 최근 나타난 피싱 공격 중 하나의 변종에 불과하다며, 사이버 범죄자들이 세금 정보에 점점 더 많은 관심을 나타내고 있는 징후라고 풀이했습니다.

이 같은 공격에 대응하기 위해 기업들은 △전신송금 담당자 수를 제한할 것 △W-2 정보 요청의 진위 여부를 확인하기 위해 다중인증을 도입할 것 △데이터 변경 요청 시 구두로 확인받을 것 등을 권고 받았습니다.

또한, 미 국세청은 이미 공격에 당했거나 의심스런 피싱 이메일을 받은 기업이라면 당청과 연방수사국(FBI) 인터넷범죄신고센터(Internet Crime Complaint Center)에 손실 데이터를 보고하라고 덧붙였습니다.

미국트럭협회, 위협 정보 공유 플랫폼 출범
미국트럭협회(ATA: American Trucking Associations)가 21일(현지시간) 위협 정보를 공유하고 사이버 범죄를 보고하기 위한 서비스를 출범시켰습니다. 이른바 ‘플릿 사이워치(Fleet CyWatch)’입니다.

여기서 ‘플릿’은 운송수단의 한 무리 또는 집단을 뜻합니다. 즉, 트럭 운송업 종사자들이 자신들의 일과 관련된 사이버 상황 전반을 모니터링하겠다는 뜻이 플릿 사이워치라는 이름에 담겨 있다고 볼 수 있습니다.

ATA 회장을 겸하고 있는 크리스 스피어(Chris Spear) 최고경영자(CEO)는 “트럭 운송업은 미국인의 음식, 연료 등 생필품을 운송하는 책임이 있다”면서 “보안은 다른 무엇보다 중요한(paramount importance) 가치”라고 말했습니다.

이어 스피어 CEO는 “특히, 세계가 점점 더 기술로 연결되는 현재 보안은 더 중요해졌다”고 짚으면서 “플릿 사이워치는 공급망 보호를 위해 사법당국 및 국가 안보기관과 협력하려는 의지를 담은 조치”라고 덧붙였습니다.

‘데이터 키퍼 랜섬웨어’, RaaS로 뜬 지 이틀 만에 공격 개시
역설적인 이름의 ‘데이터 키퍼 랜섬웨어(Data Keeper Ransomware)’는 다크웹에서 서비스형 랜섬웨어(RaaS: Ransomware-as-a-Service)로 처음 등장했습니다. 그런데 다크웹에서 홍보된 지 단 이틀 만에 실제 공격이 포착됐다고 합니다. 해외 IT 전문 매체 블리핑컴퓨터(Bleeping Computer)가 보도했습니다.

데이터 키퍼 랜섬웨어가 RaaS로 실제 공개된 건 2월 20일인데, 첫 번째 피해자가 감염 사실을 보고한 때가 2월 22일이었다고 블리핑컴퓨터는 설명했습니다.

블리핑컴퓨터에 따르면, 데이터 키퍼 랜섬웨어는 RaaS에 등록만 하면 그 즉시 무료로 공격 툴을 생성할 수 있도록 해줍니다. RaaS 운영자들은 피해자가 지불하는 랜섬(ransom, 복호화 비용)의 일부를 받는 조건으로 이용자에게 데이터 키퍼 랜섬웨어 샘플을 만들어서 뿌려보라고 홍보한다고 하네요.

미 국경검문소, 2007년 이래 전자여권 검사 한 건도 안 했다
미국 국경검사소에 전자여권 검사용 소프트웨어가 없어 2007년 이래 단 한 건의 전자여권(e-Passport)도 검사 받지 않았다고 블리핑컴퓨터가 보도했습니다. 2007년은 외국인의 전자여권 소지가 의무화된 해입니다.

블리핑컴퓨터는 미국 상원의원 론 와이든(Ron Wyden)과 클레어 매캐스킬(Claire McCaskill)이 미국 관세국경보호청(CBP: Customs and Border Protection)에 보낸 서한에서 이 같은 사실이 드러났다고 지적했습니다. 두 의원은 이 같은 보안 문제를 시정할 것, 전자여권의 진위여부를 확인할 수 있는 장비를 구매할 것을 촉구하는 중입니다.

전자여권은 미국과 비자면제(visa waiver) 협정을 체결한 나라의 국민이 미국에 들어올 때 의무적으로 소지해야 하는 여권입니다. 현재 38개국이 미국과 비자면제 협정을 체결한 상태인데, 이들 국가의 국민들은 미국 비자를 얻는 대신 전자 칩이 내장된 전자여권을 반드시 소지해야 합니다.

전자 칩에는 여권 소지자의 정보와 전자서명이 포함돼 있습니다. 국경검문소 요원들은 특수한 소프트웨어를 사용해 이 전자서명의 진위 여부를 확인할 수 있다고 합니다. 즉, 미국 국경검문소에는 전자서명을 확인할 수 있는 소프트웨어가 없었기 때문에 지금까지 요원들은 전자서명을 제외한 여권 소지자의 정보만 확인해왔다는 것이죠.

블리핑컴퓨터는 위조된 전자여권을 갖고도 미국에 들어올 수 있었다며 관세국경보호청을 비판했습니다. 관세국경보호청은 이미 2010년에 관련 사실을 인지했다고 하는데, 무려 11년간 방치해온 보안 문제가 이번에는 개선될지 주목됩니다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>