돈·데이터·방심한 직원들로 가득··· '리테일 기업'들이 직면한 5가지 위협

유통 및 소매 기업이 해커들에게 표적이 되는 이유는 다양하다. 큰 돈을 취급하며 수백만 개의 고객 신용카드 번호를 보관하고 사이버 보안 교육을 받지 않았을 수 있는 일선 인력이 있다. 또 비용 절감을 이유로 일부 소매기업들은 적절히 업데이트, 보호, 모니터링되지 않는 구형 장비를 사용한다. 버라이존(Verizon)의 ‘2022년 데이터 유출 보고서’에 따르면 소매 업계에서는 2022년에 629건의 사고를 보고했으며, 그 중 241건은 “데이터 유출을 확인했다.”

공격의 결과는 소비자 신뢰 상실부터 데이터 손실과 재정적 손실까지 다양하다. 현재 위협 소매기업들이 직면하고 있는 5가지 사이버 위협과 영리한 기업들이 이를 방어하기 위해 하고 있는 활동을 살펴본다.

랜섬웨어(Ransomware)가 목록 상위를 차지하고 있다                        
데이터 보안 기업 블랙포그(BlackFog)에 따르면 2022년에 이케아(Ikea), 맥도날드(McDonald’s), 캐나다의 식료품 체인 소비스(Sobey’s) 등의 소매 기업이 랜섬웨어의 피해를 입었다. 미국 NRF(National Retail Federation)의 소매 기술 및 사이버 보안 부사장 크리스챤 베크너는 그리 놀랍지 않다고 평했다. 그는 CSO와의 인터뷰에서 “현재 랜섬웨어로부터 자유로는 분야는 드물다. 소매 기업들에게도 중대한 지속적인 위험이다”라고 밝혔다.

소매 분야의 기업 3곳 중 2곳은 2022년에 랜섬웨어 공격을 받았다고 보고했다고 사이버 보안 기업 소포스(Sophos)가 밝혔다. 조사한 422명의 소매 IT 전문가 중 77%는 자신의 조직이 2021년에 랜섬웨어 공격을 당했다고 밝혔으며, 이는 2020년의 75%보다 높은 수치다.

이런 공격에 의한 재무적 손실과 혼란은 상당할 수 있다. “랜섬웨어 공격은 소매기업들에게 심각한 사이버 보안 위험을 유발한다”라고 카스퍼스키(Kaspersky)의 글로벌 조사 및 분석팀 책임자 파비오 아쏠리니가 말했다. 

경우에 따라 기업들은 사고 조사를 위해 운영을 중단하거나 심지어 PoS(Point of Sale)을 차단해야 한다. “게다가 랜섬웨어 공격은 데이터 유출이 수반될 수도 있기 때문에 상당한 명성 위험을 유발한다. 소매 부문의 기업들은 신용카드 데이터를 다룬다. 이 데이터가 랜섬웨어 공격으로 인해 노출될 위험이 있다”라고 아쏠리는 덧붙였다.

봇, 범죄자가 전자상거래 위협
소매기업들은 랜섬웨어 외에도 다양한 직접 전자상거래 사이버 위협에 취약하다. 여기에는 기프트 카드용 시스템 변경, 셀프 계산 시스템을 속이기 위한 제품의 바코드 교체, 온라인 반품 양식을 통한 반품 서비스 사취, 개인 정보를 훔치기 위한 고객 계정 탈취, 디지털 사기를 통한 신용카드 번호 훔치기 등이 포함된다.

전자상거래 사이트에 대한 봇 공격은 무시할 수 없는 또 다른 위협이다. 이런 자동화된 스크립트는 브라우저를 사용하여 마우스 움직임과 클릭 등의 인간 행동을 모방하여 감지하기 어렵게 진화되고 있다. 발전된 봇은 익명 프록시, 익명화 네트워크, 퍼블릭 클라우드 서비스를 통해 트래픽을 라우팅하여 실제 위치를 숨길 수 있다. 

봇은 계정 탈취에 사용되기도 한다. 이를 통해 해커는 기프트 카드, 할인 쿠폰, 포인트 등 고객의 계정에서 얻은 데이터와 심지어 저장된 신용카드 정보를 사용하여 사기로 구매할 수 있다.

봇은 자격 증명을 훔치거나 비밀번호를 추측하는 맬웨어로 발전하기도 한다. 전자상거래 웹 사이트에서는 계정을 탈취하려는 로그인 시도 비율이 높다. 무려 4회 중 1회에 해당하는데, 다른 산업에서는 10회 중 1회다. 

이런 공격의 90% 이상은 다른 데이터 유출로부터 유출된 자격 증명을 사용하여 사용자의 비밀번호를 추측하려 시도하며, 이 기법을 크리덴셜 스터핑(Credential Stuffing)이라 부른다.

이것이 전부가 아니다. 브랜드 위장 공격도 있다. 유명 브랜드 웹 사이트, 이메일 주소, 소셜 미디어 계정의 사기 버전을 생성하여 소비자를 속이고 로그인 크리덴셜, 금융 정보, 개인 정보를 훔치는 기법이다. 

RHISAC(Retail and Hospitality Information Sharing and Analysis Center)의 정보 운영 부사장 브라이언 헌들리는 “브랜드 위장의 보편적인 예로는 정당한 전자상거래 웹 사이트처럼 보이는 가짜 온라인 스토어, 잘 알려진 금융기관의 로고와 브랜딩을 사용하는 피싱 사기, 명성 있는 브랜드와 관련 있는 것처럼 보이는 가짜 고객 서비스 전화번호 등이 있다”라고 말했다.

PoS 맬웨어가 더욱 스마트해지고 있다
프릴렉스(Prilex) 등의 PoS 맬웨어는 체크아웃 카운터에 있는 유선 및 무선 PoS 단말기에서 신용카드 데이터를 수집한다. 아쏠리니는 “2014년 이후로 본격화됐다. 브라질에서 시작되어 지금은 전세계적으로 확산되어 있다”라고 말했다.

안타깝게도 프릴렉스는 더욱 스마트해지고 있다. 아쏠리니는 “2022년에는 서비스형 맬웨어로 판매되는 것으로 보고됐다. 2023년 초 카스퍼스키는 현재 감염된 장치에서 비접촉 NFC(Near-Field Communication) 트랜잭션을 차단할 수 있는 프릴렉스 맬웨어의 새로운 3가지 변종을 발견했다”라고 말했다.

조직 내부에 사이버 위협이 숨어 있다
소매 분야의 고객 대응 직무는 스트레스가 높고 급여가 낮은 직위이다. 우수한 직원조차도 사이버 보안에 대해 무지할 수 있다. 

결과는? 넷티튜드(Nettitude)의 기술 서비스 부사장 크리스 오클리는 “특히, 소매 부문에서는 내부자 위협이 높다. 일반적으로 시간제 근무자 등 인력의 순환이 높고 그들의 배경을 항상 꼼꼼히 확인하지 않는다. 또한, 보상이 낮은 경우가 많기 때문에 소매 조직들이 재정적 동기를 가진 내부자의 표적이 될 가능성이 높아진다. 내부 정보를 사용하여 시스템 가용성을 저하시킬 의지가 있는 불만을 품은 내부자도 많다”라고 말했다.

공급망 내 서드파티 소스에 대한 공격
소매기업들은 외주 공급자로부터 구매한 다양한 제품을 판매한다. 공급망은 복잡하고 심층적인 경향이 있다. 이런 공급자에게 발생하는 모든 사이버 공격은 이들에게 의존하는 소매기업들에도 영향을 미칠 수 있다. 오클리는 “안타깝게도 소매 부문은 제품부터 비즈니스 서비스까지 가장 복잡한 공급망을 갖고 있다. 공급망은 공격자에게 많은 침투점을 제공하는 운영 의존성이다”라고 말했다.

소매기업들에게도 피해를 입힌 2022년의 가장 눈에 띄는 제3자 유출은 솔라윈즈(SolarWinds) 해킹이었으며 수천 명의 사용자들에게 영향을 미쳤다. 베크너는 “주요 소매기업들 또한 이런 소프트웨어 서비스의 고객이었다”라고 말했다.

대응하기
대응해야 할 사이버 위협이 너무 많은 상황이다. 이로 인해 스마트한 소매기업들은 우선순위에 맞춰 대응하는 데 집중하고 있다. 베크너는 “위험을 없애는 것이 아니라 위험을 완화하는 것이 중요하다. 랜섬웨어의 경우 모든 중요한 데이터 시스템과 고객 정보를 백업하여 혼란을 최소화할 수 있다”라고 말했다.

2013년에 중대한 결제 시스템 데이터 유출을 겪은 타겟(Target) 등의 소매기업들은 대응적 반응 이상의 수준으로 움직이고 있다. 타겟의 CISO 리치 어고스티노는 “소매 부문 내에서 사이버 범죄자들이 새로운 매출 스트림을 찾고 물리 및 디지털 쇼핑 경험 사이의 경계가 모호해지면서 기업들이 사기 및 조직적 소매 범죄 등의 영역에서의 방어책에 대해 다르게 생각하는 것이 중요하다”라고 말했다.

그는 이어 “그래서 우리는 온라인 사기 및 사이버 보안 팀들을 하나의 조직으로 통합하는 업계를 선도하는 조치를 취했다. 이를 통해 우리는 위협 정보와 고객 엔지니어링 등의 고급 사이버 기능을 활용하고 이를 사기에 적용하며 나아가 우리의 비즈니스와 고객을 보호할 수 있다”라고 말했다.

소매 산업의 사이버 방어 노력의 중심에 있는 일인으로서 헌들리는 소매기업들이 5가지 주요 방식으로 해커들에게 대항하고 있다고 전했다. 

그는 “시스템과 고객 데이터를 보호하기 위해 강력한 보안 조치를 구현하고 있으며 직원들을 위한 사이버 보안 인식 교육에 투자하고 있다. 그들도 취약성을 확인하고 사이버 보안 태세를 개선하기 위해 정기 보안 평가를 수행하고 있다. 사이버 위협을 선제적으로 감지 및 대응하기 위해 고급 위협 정보를 사용하고 위협 트렌드에 대한 더욱 광범위한 인사이트를 얻기 위해 Retail & Hospitality(소매 및 접대) ISAC와 사이버 위협 정보를 공유하고 있다”라고 말했다.

또한, 오클리는 “특히 대형 소매기업들이 ISO 27001 등의 표준으로 뒷받침되는 강력한 기초가 포함된 탄탄한 정보 보안 프로그램을 강조하고 있다. 조직들은 종종 아웃소싱 된 모델을 통해 탄탄한 감지 및 대응 역량과 연계된 연속 확보를 포함하도록 요건을 높이고 있다”라고 말했다.

정보를 훔치려는 해커들과 보호하려는 소매기업들 사이의 싸움은 앞으로도 이어질 가능성이 다분하다. 세일포인트(SailPoint)의 전략 및 표준 책임자 마이크 카이저는 “사이버 위협 방지는 지속적인 소모전이며, 절대로 한 번에 해결되지 않는다. 그래서 소매 조직들이 알려진 위협의 완화를 돕기 위해 지속적으로 새로운 기법을 배우고 있다”라고 말했다. ciokr@idg.co.kr