2018.08.24

영국 수퍼드러그가 보여준 해커 협박 '대응의 정석'

Scott Carey | Computerworld UK
영국의 대형 소매점 수퍼드러그(Superdrug)는 최근 한 해커의 연락을 받았다. 최대 2만 명의 고객 정보를 탈취했으니 돈을 달라는 것이었다. 그가 언급한 고객 정보는 이름과 주소, 기타 정보 등이었며 결제와 카드 관련 정보는 없었다. 업체가 해킹의 증거를 요구하자 386개 '샘플' 계정 정보를 보내오기도 했다.



그러나 조사결과 이 계정 정보는 수퍼드러그에서 빼낸 것이 아니라 완전히 다른 업체 해킹을 통해 얻은 정보인 것으로 드러났다. 이런 사이버 범죄를 '크리데셜 스터핑(credential stuffing)'이라고 한다. 한 기업에서 유출된 로그인 이름과 암호를 다른 기업의 사용자 계정을 탈취하거나 돈을 뺏는 수단으로 악용하는 것이다. 이런 일련의 과정은 보통 셀렌(Selenium), 컬(CURL), 팬텀JS(PhantomJS) 같은 상용 자동화 툴을 통해 진행된다.

봇 관리 제품을 개발하는 아카마이(Akamai)의 보안 제품 담당 이사 베런 코니그는 "이런 종류의 위협이 성공하려면, 해커가 훔친 데이터를 수천개 사이트에 걸쳐 수천명의 계정을 일일이 로그인해 테스트해야 한다. 그 중에 로그인에 성공하는 계정을 찾는 식이다. 이런 계정을 일정 규모로 확보한 후에 마치 새로 해킹한 것처럼 기업에 금품을 요구한다"라고 말했다.

이런 종류의 공격은 여러 웹사이트와 서비스에 걸쳐 같은 암호를 사용하는 사용자의 행태를 악용한 것이다. 예를 들어 카폰 웨어하우스(Carphone Warehouse) 해킹 사건에서 유출된 로그인 이름과 암호를 블랙 마켓에서 구입한 후 다른 사이트에서 크리덴셜 스터핑을 시도하는 것이다.

코니그는 "크리데셜 스터핑을 막으려면 로그인 시도가 사람인지 봇인지 식별할 수 있는 툴을 도입해야 한다. 계정 정보가 얼마나 빨리 입력되는지, 혹은 어떤 기기에서 로그인이 진행되는지 등을 통해 구별할 수 있다. 특히 이런 사이버 범죄가 툴이 정교화되면서 점점 더 확산하고 있다. 따라서 기업은 이를 방어하기 위해 머신러닝 알고리즘 기반의 AI 솔루션 같은 신기술에 투자해야 한다"라고 말했다.

---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

해커 협박 사실을 투명하게 공개
수퍼드러그는 이내 해커의 협박이 있었다는 사실을 고객에게 알렸다. 비밀번호를 변경할 것을 권한 것은 물론이다. 업체는 "우리는 이미 경찰과 액션 프러드(Action Fraud, 영국 사기 및 사이버범죄 담당 조직)에 이를 알렸다. 수사에 필요한 모든 정보도 제공할 예정이며, 더불어 고객의 데이터를 안전하게 지키는 책임도 다할 것이다"라고 설명했다. 이번 발표는 업체가 이메일을 발송했다는 사실을 트위터를 통해 공식 확인한 이후 나왔다. 이에 앞서 고객에게 일정한 절차를 거쳐 암호를 변경하도록 하는 메일을 보냈다.

수퍼드러그의 대변인은 "외부 IT 보안 전문가와 긴밀하게 협업해 우리 시스템에 대한 해킹이 없었음을 확인했다. 우리 시스템에서 대규모로 데이터를 다운로드하거나 추출한 흔적이 전혀 없었다. 해커가 해킹 증거라며 보내 온 386개 계정도 수퍼드러그와 관련이 없는 다른 해킹 사고 관련 계정으로 드러났다"라고 말했다.

해킹의 증거가 전혀 없었다면 수퍼드러그는 왜 고객에게 개인정보가 위험에 처해 있다고 메일을 보낸 것일까? 업체 대변인은 "해커가 제시한 정보에는 고객의 이름과 주소, 그리고 일부 생일과 휴대폰 번호가 포함돼 있었다. 따라서 이 정보가 유출될 가능성이 있어 보이는 고객과 다른 기업에 이 사실을 즉시 알렸다"라고 말했다. 수퍼드러그는 이처럼 투명하게 대응한 것을 다른 후속 조치를 짐작할 수 있게 한다. 해커에게 금품을 주지 않고, 이번 사건을 조사하고, 잠재적으로 영향을 받은 사용자에게 알리고, 관계 당국에도 보고하는 것 등이다. 업체는 현재 내부적으로 조사가 진행중이라고 설명했다.

후지쯔 UK/아일랜드의 연속성과 레질런스 담당 임원 사라 암스트롱-스미스는 "수퍼드러그의 신속한 대응은 충분히 평가 받아 마땅하다. 이번 사례는 데이터 유출이 의심되는 상황에서 기업이 고객과 이해당사자에 더 투명하고 신속하게 알리고 대처하는 것이 점점 더 중요해지고 있음을 잘 보여준다"라고 말했다. ICO(Information Commissioner's Office)의 대변인은 "수퍼드러그를 포함해 잠재적인 사고에 대해 이미 인지하고 있으며 조사를 벌일 계획이다"라고 말했다. ciokr@idg.co.kr



2018.08.24

영국 수퍼드러그가 보여준 해커 협박 '대응의 정석'

Scott Carey | Computerworld UK
영국의 대형 소매점 수퍼드러그(Superdrug)는 최근 한 해커의 연락을 받았다. 최대 2만 명의 고객 정보를 탈취했으니 돈을 달라는 것이었다. 그가 언급한 고객 정보는 이름과 주소, 기타 정보 등이었며 결제와 카드 관련 정보는 없었다. 업체가 해킹의 증거를 요구하자 386개 '샘플' 계정 정보를 보내오기도 했다.



그러나 조사결과 이 계정 정보는 수퍼드러그에서 빼낸 것이 아니라 완전히 다른 업체 해킹을 통해 얻은 정보인 것으로 드러났다. 이런 사이버 범죄를 '크리데셜 스터핑(credential stuffing)'이라고 한다. 한 기업에서 유출된 로그인 이름과 암호를 다른 기업의 사용자 계정을 탈취하거나 돈을 뺏는 수단으로 악용하는 것이다. 이런 일련의 과정은 보통 셀렌(Selenium), 컬(CURL), 팬텀JS(PhantomJS) 같은 상용 자동화 툴을 통해 진행된다.

봇 관리 제품을 개발하는 아카마이(Akamai)의 보안 제품 담당 이사 베런 코니그는 "이런 종류의 위협이 성공하려면, 해커가 훔친 데이터를 수천개 사이트에 걸쳐 수천명의 계정을 일일이 로그인해 테스트해야 한다. 그 중에 로그인에 성공하는 계정을 찾는 식이다. 이런 계정을 일정 규모로 확보한 후에 마치 새로 해킹한 것처럼 기업에 금품을 요구한다"라고 말했다.

이런 종류의 공격은 여러 웹사이트와 서비스에 걸쳐 같은 암호를 사용하는 사용자의 행태를 악용한 것이다. 예를 들어 카폰 웨어하우스(Carphone Warehouse) 해킹 사건에서 유출된 로그인 이름과 암호를 블랙 마켓에서 구입한 후 다른 사이트에서 크리덴셜 스터핑을 시도하는 것이다.

코니그는 "크리데셜 스터핑을 막으려면 로그인 시도가 사람인지 봇인지 식별할 수 있는 툴을 도입해야 한다. 계정 정보가 얼마나 빨리 입력되는지, 혹은 어떤 기기에서 로그인이 진행되는지 등을 통해 구별할 수 있다. 특히 이런 사이버 범죄가 툴이 정교화되면서 점점 더 확산하고 있다. 따라서 기업은 이를 방어하기 위해 머신러닝 알고리즘 기반의 AI 솔루션 같은 신기술에 투자해야 한다"라고 말했다.

---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

해커 협박 사실을 투명하게 공개
수퍼드러그는 이내 해커의 협박이 있었다는 사실을 고객에게 알렸다. 비밀번호를 변경할 것을 권한 것은 물론이다. 업체는 "우리는 이미 경찰과 액션 프러드(Action Fraud, 영국 사기 및 사이버범죄 담당 조직)에 이를 알렸다. 수사에 필요한 모든 정보도 제공할 예정이며, 더불어 고객의 데이터를 안전하게 지키는 책임도 다할 것이다"라고 설명했다. 이번 발표는 업체가 이메일을 발송했다는 사실을 트위터를 통해 공식 확인한 이후 나왔다. 이에 앞서 고객에게 일정한 절차를 거쳐 암호를 변경하도록 하는 메일을 보냈다.

수퍼드러그의 대변인은 "외부 IT 보안 전문가와 긴밀하게 협업해 우리 시스템에 대한 해킹이 없었음을 확인했다. 우리 시스템에서 대규모로 데이터를 다운로드하거나 추출한 흔적이 전혀 없었다. 해커가 해킹 증거라며 보내 온 386개 계정도 수퍼드러그와 관련이 없는 다른 해킹 사고 관련 계정으로 드러났다"라고 말했다.

해킹의 증거가 전혀 없었다면 수퍼드러그는 왜 고객에게 개인정보가 위험에 처해 있다고 메일을 보낸 것일까? 업체 대변인은 "해커가 제시한 정보에는 고객의 이름과 주소, 그리고 일부 생일과 휴대폰 번호가 포함돼 있었다. 따라서 이 정보가 유출될 가능성이 있어 보이는 고객과 다른 기업에 이 사실을 즉시 알렸다"라고 말했다. 수퍼드러그는 이처럼 투명하게 대응한 것을 다른 후속 조치를 짐작할 수 있게 한다. 해커에게 금품을 주지 않고, 이번 사건을 조사하고, 잠재적으로 영향을 받은 사용자에게 알리고, 관계 당국에도 보고하는 것 등이다. 업체는 현재 내부적으로 조사가 진행중이라고 설명했다.

후지쯔 UK/아일랜드의 연속성과 레질런스 담당 임원 사라 암스트롱-스미스는 "수퍼드러그의 신속한 대응은 충분히 평가 받아 마땅하다. 이번 사례는 데이터 유출이 의심되는 상황에서 기업이 고객과 이해당사자에 더 투명하고 신속하게 알리고 대처하는 것이 점점 더 중요해지고 있음을 잘 보여준다"라고 말했다. ICO(Information Commissioner's Office)의 대변인은 "수퍼드러그를 포함해 잠재적인 사고에 대해 이미 인지하고 있으며 조사를 벌일 계획이다"라고 말했다. ciokr@idg.co.kr

X