• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

던킨도너츠, 구멍이 뚫린 건 도너츠만인가, 보안 개념이기도 한가? 2019.09.30

2015년 약 2만여 명의 계정에서 이뤄진 크리덴셜 스터핑 공격...고지는 2018년
던킨 측은 “침해 규모나 성질 봤을 때 고지 안 해도 되는 성질의 사건”이라 반박

[보안뉴스 문가용 기자] 던킨도너츠가 뉴욕 주의 데이터 침해 통보 관련 규정을 어겼다는 이유로 고소당했다. 고소장에 의하면 던킨도너츠의 모회사인 던킨 브랜즈(Dunkin’ Brands)는 2015년 발생한 2만 명 고객의 정보 유출 사고를 공개하지 않았다고 한다. 소송을 제기한 건 뉴욕 주의 검사인 레티샤 제임스(Letitia James)로, 던킨도너츠가 소비자들의 중요한 권리를 침해하고 있다고 주장했다.

[이미지 = iclickart]


이에 대해 던킨의 수석 홍보 책임자인 카렌 라스콥프(Karen Raskopf)는 “이번에 제기된 주장은 사실과 다르다”고 반박했다. “뉴욕의 검사가 제출한 이번 고소장은 근거 없는 주장으로 가득합니다. 던킨은 2015년 발생한 고객 정보 유출 사고에 대한 공공 기관 및 사법 기관의 수사에 적극적으로 협조했으며, 모든 관련 규정을 철저하게 지켜왔습니다. 그런데도 저희에게 아무런 사전 통보도 없이 일을 이렇게까지 키웠다는 것에 유감을 표합니다.”

2015년 일부의 사이버 공격자들이 던킨도너츠 고객들의 온라인 계정을 해킹하는 일이 발생했다. 크리덴셜 스터핑 공격 기법이 활용됐다고 고소장은 밝히고 있다. 크리덴셜 스터핑이란, 공격자들이 이미 확보한 크리덴셜(ID/비밀번호)을 다른 여러 온라인 서비스에 자동으로 대입해 추가 계정을 확보하는 행위를 말한다. 사용자들이 여러 서비스에 동일한 ID와 비밀번호를 사용한다는 걸 악용한 공격 기법이다.

고소장에 의하면 던킨 측은 크리덴셜 스터핑으로 2만 여개의 계정이 뚫렸고, 고객들의 개인정보가 유출되었는데도 2018년 10월 31일까지 고객들에게 아무 것도 알리지 않았다고 한다. 2018년 10월 31일, 던킨은 일부 고객들의 이름, 이메일 주소, 16자리 계정 번호와 큐알코드 관련 정보가 공격자들의 손에 넘어갔을 가능성이 있다고 발표했었다.

그러면서 던킨은 “내부 조사에 즉각 착수했고, 외부 보안 전문 기업들의 도움을 받아 똑같은 사건이 두 번 발생하지 않도록 보안을 강화하는 조치를 취했다”고 덧붙이기도 했다.

하지만 뉴욕 검사 측은 “던킨은 계정이 해킹당했다는 내용의 고객의 신고와 불만을 2015년 5월부터 접수해왔다”고 주장했다. 이는 공식 발표보다 약 3년이나 빠른 시기다. 게다가 던킨 브랜즈와 파트너십을 맺고 있는 서드파티 앱 개발사 코파이어(CorFire)가 2015년 6월 “5일 사이에 19,715개의 계정이 침해됐다”는 사실을 던킨 측에 알리기도 했다고 검사는 고소장을 통해 밝혔다.

2015년 당시 뉴욕 주는 정보 침해 사건이 발생할 경우 피해자들에게 고지하도록 규정으로 정하고 있었다. 사실을 알릴 뿐 아니라 비밀번호를 변경할 수 있도록 권고하고, 변경이 이뤄질 때까지 해당 계정을 잠시 사용 중지시켜야 하도록 되어 있었지만, 이 역시 지키지 않았다고 한다. 게다가 던킨 측의 당시 주장과 달리, 미래에 비슷한 사고가 일어나는 걸 막기 위한 방어 대책도 적절히 수립하지 못했다는 내용도 있었다.

검사 측의 주장에 설득력이 더 실리는 건, 던킨이 2019년 2월 똑같은 크리덴셜 스터핑 공격에 한 번 더 당했기 때문이다. 이 사건으로 30만 명의 고객이 피해를 입었지만, 던킨은 30일 내에 해당 사실을 적절히 고지한 것으로 알려져 있다.

하지만 라스코프는 2015년 사건에 대해 조금 다른 설명을 하고 있다. “2015년 당시에 발생한 사건은 크리덴셜 스터핑 공격이 맞습니다. 그러나 이 공격과 관련된 DB에는 지불과 관련된 정보가 하나도 포함되어 있지 않았어요. 당시 방화벽 서비스를 제공해주던 파트너사로부터 소식을 듣고 던킨은 즉각 조사를 시작했습니다. 그 결과 그 어떤 계정에서도 불법적으로 접속된 흔적을 찾을 수 없었습니다. 따라서 애초부터 고객들에게 알릴 사안이 아니었던 것입니다.”

이번 사건에 대한 판결을 통해 침해 사고에 대한 기업들의 고지 의무가 보다 명확해질 것으로 예상된다. 무조건적인 고지가 옳은 것인지, 사건의 규모와 성질에 따라 고지 의무가 다르게 적용되는지에 대한 논의도 판결이 내려질 때까지 이어질 것으로 보인다.

3줄 요약
1. 던킨도너츠, 뉴욕에서 고지 의무 위반으로 고소당함.
2. 고소자는 “던킨이 침해 사고 알고도 3년 동안이나 고객에게 알리지 않았다.”
3. 던킨은 “금융 정보도 없었고, 악의적 접근이 이뤄진 계정도 없어서 고지 안 해도 됐었다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>