• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[6월 1주 뉴스쌈] 기프트카드 해킹해 8억 원 훔친 일당 ‘기소’ 2018.06.10

美 콜로라도의 침해공지 법, 타깃 기프트카드 해킹,
납세자 노린 뱅킹 트로이목마, 공급망 보안업체 투자

[보안뉴스 오다인 기자] ‘고위험·고수익’은 보안에도 적용되는 말일까요? 공급망을 둘러싼 위험이 커질수록 이를 노리는 공격자의 수익과 이를 지키려는 보안업체의 수익도 같이 커질까요? 묵묵히 공급망 보안 사업을 이어온 이스라엘의 한 업체가 500만 달러의 투자금을 유치했다는 소식이 들려옵니다. 보안을 비용이 아닌 투자로 여기는 문화가 정착되길 바랍니다.

[이미지=iclickart]


美 콜로라도 주, 미국에서 가장 엄격한 침해공지 법 제정
미국 콜로라도 주가 새로운 법을 만들었는데, 정보유출과 관련해 미국에서 가장 엄격한 수준이라고 합니다. 침해사고 발생 시 개인정보가 포함돼 있으면 이유를 불문하고 사실 발견 후 30일 내에 피해 당사자에게 공지해야 한다는 것. 예외 없이 말입니다. 이 법은 양당의 지지를 받아 통과됐습니다.

이와 함께 콜로라도 주는 개인식별정보의 범위를 의료정보와 금융정보로 확장시켰습니다. 이로 인해 이른바 ‘HIPAA’라고 불리는 미국 건강보험 양도 및 책임에 관한 법을 위반하는 곳에 특히 중대한 영향이 있을 것으로 전망됩니다. 지금까지는 HIPAA 위반 시 미국 연방정부의 60일 공지 전례에 따라왔지만 새 법에 의해 30일 안에 공지해야만 하기 때문입니다.

기프트카드 시스템 해킹해 8억 원 사취한 일당, 기소
대형 유통업체 타깃(Target)의 내부 기프트카드 시스템을 침해한 뒤 타깃과 타깃 고객으로부터 약 80만 달러(약 8억 6,160만 원)를 사취한 혐의로 미국 연방 대배심이 5명을 기소했습니다. 미국 법무부가 6일(현지 시간) 밝혔습니다.

2017년 5월부터 12월 사이, 범죄자 일당은 타깃의 기프트카드 잔고 785,000달러를 빼돌렸습니다. 또한, 비트코인을 얻으려는 목적에서 불법적으로 사들인 제품과 기프트카드를 온라인 장터에서 판매했습니다.

이들은 정품 기프트카드의 바코드 번호를 리버스 엔지니어링 등으로 알아낸 뒤, 타깃의 자동화된 고객 서비스 라인을 통해 자신들의 잔고를 확인시켰습니다. 그런 다음 모바일 앱 또는 전자지갑에 활성화된 카드번호를 입력하고 그 카드로 타깃에서 물건을 사들였습니다.

기프트카드의 진짜 주인이 카드를 쓰려고 했을 때, 잔고가 제로로 나타나게 됐습니다. 타깃은 2017년 12월 기프트카드 시스템을 교체해 범죄자들의 작전에 종지부를 찍었습니다.

미국 납세자 겨냥한 뱅킹 트로이목마 ‘기승’
미국 납세 기간 동안 이메일을 통한 트로이목마 전파가 기승을 부린 것으로 나타났습니다. 특히 ‘URSNIF’라고 알려진 뱅킹 트로이목마가 미국 납세자들을 공격했습니다. URSNIF는 피싱 이메일의 첨부파일로 전달된 것이 아니라 특정 URL을 클릭하면 실행되는 VB스크립트 다운로더로 전파됐습니다.

보안업체 트렌드마이크로(Trend Micro) 연구진에 따르면, 이 URL은 세금 문제를 언급하는 피싱 이메일에 담겨 있었습니다. 세부정보를 보려면 URL을 클릭하라고 유도했습니다. 이메일 수신자가 URL을 클릭하면, 세금 정보 사이트처럼 보이는 웹페이지가 떴는데요. 이 웹페이지에는 VB스크립트 다운로더를 실행시키기 위한 난독화된 코드가 숨겨져 있던 것으로 드러났습니다.

연구진은 피해를 예방하기 위해 △스팸 필터를 이용할 것 △적절한 정책 관리를 실행할 것 △이메일 보안 메커니즘을 가능한 한 최대화 할 것 등을 권고했습니다.

공급망 보안업체, 500만 달러 투자금 받아
이스라엘의 공급망 보안 전문업체 파노레이스(Panorays)가 500만 달러(약 53억 8,500만 원)의 투자금을 받으며 화려하게 데뷔했습니다. 파노레이스는 지금까지 크게 알려지진 않은 기업으로, 조용히 사업을 이어왔다고 합니다. 사이버 리스크를 줄이기 위해 기업이 서드파티와의 관계를 확인·관리할 수 있도록 해주는 자동화된 플랫폼을 보유하고 있습니다.

이 플랫폼은 금융, 의료, 자동차, 테크, 소매 분야 기업을 대상으로 하는 서비스형 소프트웨어(SaaS)로 제공됩니다. IT 인프라 및 공급망 전체에 대한 가시성을 제공하며, 잠재적으로 어떤 부분이 위험한지 알려줍니다. 내부 정책을 얼마나 잘 따르고 있는지 판단해 주고요. 이 모든 걸 점수로 매긴 뒤, 향후 어떻게 시정해야 하는지 알려주기도 합니다.

파노레이스의 투자 소식은 서드파티 위협을 지적한 카스퍼스키랩(Kaspersky Lab) 보고서가 나온 뒤 잇따라 발표됐습니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>