2017.09.13

"미국도 2명 중 1명 정보 유출··· 은행 계좌 탈취 가장 경계해야"

Fahmida Y. Rashid | CSO
에퀴팍스(Equifax)의 대규모 개인 정보 유출 사고 이후 세금과 금융 관련 사기 우려가 커지고 있다. 그러나 가장 크게 영향을 받는 쪽은 파트너의 신용을 확인하는 데 신용평가 기관을 이용해 온 기업이 될 것으로 보인다.



채용 확인이나 소셜 서비스 검증을 비롯해 여러 형태의 신원 확인이 대표적이다. 모두 신용평가에 의존하는 업무다. 이런 서비스는 본인만이 신원을 확인하는 데 사용하는 세부 정보를 알고 있다는 가정을 기반으로 한다. 그러나 상당한 양의 개인식별정보(PII)가 인터넷에 유출되면서 이러한 전제가 무너지고 있다. 지난 2년간 대학과 유통업체, 대기업, 헬스케어 기관 등에서 많은 데이터가 유출됐다. 범죄자가 상당한 양의 PII를 악용할 수 있는 상황이다.

가트너의 유명 애널리스트인 아비바 리탄은 가트너 리서치 블로그에 "범죄자들은 이렇게 유출된 최신 PII 데이터를 이용해 다른 사람을 가장한 후 계좌를 빼낼 수 있다"라고 지적했다.

이전 보도에 따르면, 신원 미상의 해커는 에퀴팍스 웹 애플리케이션의 보안 취약점을 이용해 최대 1억 4300만 명의 개인 정보를 빼냈다. 여기에는 사회보장번호, 이름, 주소 등이 포함됐고 일부 경우는 운전면허증 번호도 유출됐다. 에퀴팍스에 따르면, 해커는 지난 5월 중순부터 7월까지 이러한 불법 접속을 계속했다.

현재까지 사람들의 우려는 신원 도용과 이를 악용한 신규 계좌 개설 가능성에 모아지고 있다. 그러나 리탄은 이번 데이터 유출로 대규모 금융 사기가 발생할 가능성은 크지 않다고 예상했다. 그는 "과거 사례를 보면 범죄자가 신원을 도용해 대출을 받거나 계좌 개설, 신용카드를 발급 받은 비율은 전체의 5% 이하다"라고 말했다.

오히려 더 빈번하게 발생하는 것은 기존 은행 계좌를 탈취하는 것이다. 훔친 정보를 이용해 은행과 휴대폰 서비스, 은퇴 연금 계좌 등을 뚫는데 이용하는 것이다. 콜센터와 온라인 시스템은 계좌 이체나 계좌 관련 정보 변경 등 주요 온라인 작업을 처리할 때 신원을 확인하는 과정에서 이러한 정보 일부만 이용한다. 리탄은 "이들 데이터가 범죄자의 손에 들어갔을 가능성이 높은 상황에서 신원을 확인하는 데 오로지 정적인 개인 정보만 사용하는 것이 문제다"라고 지적했다.

디지털 생태계는 웹 상의 다양한 신뢰를 기반으로 지탱된다. 이 중 한 곳에서라도 약점이 발견되면 모두에게 영향을 줄 수 있다. 신원 관리 업체 핑 아이덴티티(Ping Identity)의 CTO 패트릭 하딩은 "미국의 신용 시스템은 디지털 신원의 안전을 확보하는 수단으로 신용평가 기관에 거의 절대적으로 의존하고 있다"라고 말했다.

따라서 범죄자가 이들 정보를 이용하면 주요 신원 확인 시스템, 특히 금융 서비스가 큰 혼란에 빠질 수 있다. 더는 신원 확인 결과를 믿을 수 없기 때문이다. 위협 인텔리전스 업체 서프와치 랩(SurfWatch Labs)의 수석 보안 전략가 아담 메이어는 "데이터 유출은 많은 기업과 공공 기관이 금융 사기에 맞서기 위해 사용하고 있는 인증 스택에 직접적인 영향을 줄 수 있다"라고 말했다.

범죄자가 신원 확인에 필요한 모든 정보를 확보하게 되면 이런 인증 시스템 자체가 의미가 없어질 수 있다. 그래서 리탄 같은 보안 전문가들은 정적인 개인 정보에 의존해 신원 확인을 하는 대신 동적인 인증 정보를 이용해야 한다고 주장해 왔다. 예를 들어 보안 업체 쓰랫매트릭스(Threatmetrix)는 크라우드 소싱과 머신러닝을 이용해 동적인 행위와 태도 등을 기반으로 개인의 신원을 확인한다.

리탄은 "세무당국을 포함한 가트너 고객사와 논의해 보면, 미국인의 절반 이상이 이미 이번 해킹 이전부터 신원 정보가 유출된 것으로 추정된다. 그들의 기록도 이미 범죄자의 데이터베이스로 넘어간 상태다"라고 말했다.

리탄은 개개인이 금융과 휴대폰 서비스 계정 탈취, 세금 환급 사기, 사회 보장을 포함한 정부 복지 관련 사기 등에 주의해야 한다고 경고했다. 핵 무기 시스템이나 전력망에 대한 공격에도 대비가 필요하다고 덧붙였다. 그는 "범죄자들이 이번에 유출된 개인 정보를 이용해 가짜 주택대출에 나설 가능성이 있다. 그러나 이보다는 앞으로 새로운 범죄에 악용될 가능성이 훨씬 더 크다"라고 말했다. ciokr@idg.co.kr 

2017.09.13

"미국도 2명 중 1명 정보 유출··· 은행 계좌 탈취 가장 경계해야"

Fahmida Y. Rashid | CSO
에퀴팍스(Equifax)의 대규모 개인 정보 유출 사고 이후 세금과 금융 관련 사기 우려가 커지고 있다. 그러나 가장 크게 영향을 받는 쪽은 파트너의 신용을 확인하는 데 신용평가 기관을 이용해 온 기업이 될 것으로 보인다.



채용 확인이나 소셜 서비스 검증을 비롯해 여러 형태의 신원 확인이 대표적이다. 모두 신용평가에 의존하는 업무다. 이런 서비스는 본인만이 신원을 확인하는 데 사용하는 세부 정보를 알고 있다는 가정을 기반으로 한다. 그러나 상당한 양의 개인식별정보(PII)가 인터넷에 유출되면서 이러한 전제가 무너지고 있다. 지난 2년간 대학과 유통업체, 대기업, 헬스케어 기관 등에서 많은 데이터가 유출됐다. 범죄자가 상당한 양의 PII를 악용할 수 있는 상황이다.

가트너의 유명 애널리스트인 아비바 리탄은 가트너 리서치 블로그에 "범죄자들은 이렇게 유출된 최신 PII 데이터를 이용해 다른 사람을 가장한 후 계좌를 빼낼 수 있다"라고 지적했다.

이전 보도에 따르면, 신원 미상의 해커는 에퀴팍스 웹 애플리케이션의 보안 취약점을 이용해 최대 1억 4300만 명의 개인 정보를 빼냈다. 여기에는 사회보장번호, 이름, 주소 등이 포함됐고 일부 경우는 운전면허증 번호도 유출됐다. 에퀴팍스에 따르면, 해커는 지난 5월 중순부터 7월까지 이러한 불법 접속을 계속했다.

현재까지 사람들의 우려는 신원 도용과 이를 악용한 신규 계좌 개설 가능성에 모아지고 있다. 그러나 리탄은 이번 데이터 유출로 대규모 금융 사기가 발생할 가능성은 크지 않다고 예상했다. 그는 "과거 사례를 보면 범죄자가 신원을 도용해 대출을 받거나 계좌 개설, 신용카드를 발급 받은 비율은 전체의 5% 이하다"라고 말했다.

오히려 더 빈번하게 발생하는 것은 기존 은행 계좌를 탈취하는 것이다. 훔친 정보를 이용해 은행과 휴대폰 서비스, 은퇴 연금 계좌 등을 뚫는데 이용하는 것이다. 콜센터와 온라인 시스템은 계좌 이체나 계좌 관련 정보 변경 등 주요 온라인 작업을 처리할 때 신원을 확인하는 과정에서 이러한 정보 일부만 이용한다. 리탄은 "이들 데이터가 범죄자의 손에 들어갔을 가능성이 높은 상황에서 신원을 확인하는 데 오로지 정적인 개인 정보만 사용하는 것이 문제다"라고 지적했다.

디지털 생태계는 웹 상의 다양한 신뢰를 기반으로 지탱된다. 이 중 한 곳에서라도 약점이 발견되면 모두에게 영향을 줄 수 있다. 신원 관리 업체 핑 아이덴티티(Ping Identity)의 CTO 패트릭 하딩은 "미국의 신용 시스템은 디지털 신원의 안전을 확보하는 수단으로 신용평가 기관에 거의 절대적으로 의존하고 있다"라고 말했다.

따라서 범죄자가 이들 정보를 이용하면 주요 신원 확인 시스템, 특히 금융 서비스가 큰 혼란에 빠질 수 있다. 더는 신원 확인 결과를 믿을 수 없기 때문이다. 위협 인텔리전스 업체 서프와치 랩(SurfWatch Labs)의 수석 보안 전략가 아담 메이어는 "데이터 유출은 많은 기업과 공공 기관이 금융 사기에 맞서기 위해 사용하고 있는 인증 스택에 직접적인 영향을 줄 수 있다"라고 말했다.

범죄자가 신원 확인에 필요한 모든 정보를 확보하게 되면 이런 인증 시스템 자체가 의미가 없어질 수 있다. 그래서 리탄 같은 보안 전문가들은 정적인 개인 정보에 의존해 신원 확인을 하는 대신 동적인 인증 정보를 이용해야 한다고 주장해 왔다. 예를 들어 보안 업체 쓰랫매트릭스(Threatmetrix)는 크라우드 소싱과 머신러닝을 이용해 동적인 행위와 태도 등을 기반으로 개인의 신원을 확인한다.

리탄은 "세무당국을 포함한 가트너 고객사와 논의해 보면, 미국인의 절반 이상이 이미 이번 해킹 이전부터 신원 정보가 유출된 것으로 추정된다. 그들의 기록도 이미 범죄자의 데이터베이스로 넘어간 상태다"라고 말했다.

리탄은 개개인이 금융과 휴대폰 서비스 계정 탈취, 세금 환급 사기, 사회 보장을 포함한 정부 복지 관련 사기 등에 주의해야 한다고 경고했다. 핵 무기 시스템이나 전력망에 대한 공격에도 대비가 필요하다고 덧붙였다. 그는 "범죄자들이 이번에 유출된 개인 정보를 이용해 가짜 주택대출에 나설 가능성이 있다. 그러나 이보다는 앞으로 새로운 범죄에 악용될 가능성이 훨씬 더 크다"라고 말했다. ciokr@idg.co.kr 

X