美 JP모건 체이스에서 8천 6백만 건 정보 유출

은행 : 고객 계좌 모두 안전하니 큰 사고 아니다

전문가 : 유출된 정보만으로 무궁무진한 악용 가능해 위험

[보안뉴스 문가용] 미국 대형 금융기업인 JP모건 체이스의 IT 시스템이 최근 해킹당하면서 개인 식별 정보 8천 6백만 건이 유출된 것으로 드러났다. 이는 숫자로만 보면 역대 11위의 규모이지만 JP모건은 위험한 정보가 유출된 건 아니니 다른 사건과 비교하는 게 불가능하다는 입장을 표명했다.

▲ 사진출처 : JP모건 체이스

“고객들의 계좌는 전부 안전합니다. 계좌 정보, 주민번호, 신용카드 번호가 도난당한 것이 아니기 때문입니다. 해커들이 가져간 것이라고는 이름, 주소, 전화번호, 이메일 주소, 사내 정보뿐입니다”라고 은행 측은 밝혔다. “즉 고객들의 돈은 여전히 안전합니다. 또한 최근 일어난 유출사고와는 달리 저희에게서 훔쳐간 고객 정보를 이용한 추가 범죄행위가 발견된 바가 없습니다. 고객들이 암호나 계좌 정보를 수정할 필요도 없을 정도로 안전합니다.”

은행 측은 이번 사고의 위험도를 아주 낮게 평가하고 있는 가운데 보안 전문가들은 과연 은행이 발표한 정도로 위험도가 낮은지에 대해서는 회의적인 시각이다. 물론 계좌 정보가 도난당하지 않은 것은 사실이다. 하지만 해커들이 어떤 방식으로 얼마나 열심히 은행을 뚫어냈는지에 대해서는 언급하지 않는다는 게 영 찝찝하다는 게 대세인 의견이다.

“JP모건에서 일어난 이번 사건은 정보 유출의 흔적이 거의 없다는 것에 주목해야 합니다. 즉 일정의 정보만 훔쳐갔지 돈이나 다른 ‘귀한’ 정보는 전혀 손을 대지 않았거든요. 이런 ‘얌전한’ 도둑질이 무엇을 의미하는지 밝혀내야 합니다. 어쩌면 군대 지휘관이 전쟁이 벌어지기 전에 전장에 대한 정보를 파악하는 것과 비슷한 종류의 행동이 아니었을까 합니다.” 레드실 네트웍스(RedSeal Networks)의 CTO인 마이크 로이드(Mike Lloyd) 박사의 설명이다.

또한 요즘 워낙 여러 곳에서 정보 유출사고가 발생하니 공격자 입장에서는 여기서 조금 저기서 조금 정보를 훔쳐다가 조합하는 게 가능할 수도 있다는 이론도 제기되었다. 즉 한 군데에서 너무 많은 정보를 훔칠 필요가 없어졌다는 것이다.

“훔쳐간 정보가 사용자의 다른 정보와 합쳐지면 해커가 마치 해당 사용자인 것처럼 행동하는 게 가능해질 수도 있습니다. 아니면 지금 도난당한 정보만으로도 끝없는 스팸과 피싱에 시달리고 있을 수도 있지요.” 멀웨어바이트 랩스(Malwarebytes Labs)의 아담 쿠자와(Adam Kujawa)의 설명이다. “이름, 전화번호, 주소, 이메일 주소와 같은 정보만 활용해도 타깃형 공격을 얼마든지 감행할 수 있습니다. 아마 JP모건 은행에서 온 것과 똑같은 이메일이나 메시지를 만들어 보내겠죠. 그러니 ‘리스크가 낮다’고 하는 은행의 발표에는 설득력이 전혀 없습니다.”

아직 은행 측은 정확히 어떤 방식으로 공격이 들어왔는지에 대해서는 언급하고 있지 않다. 하지만 뉴욕타임즈에 있는 익명의 제보자에 의하면 이번 공격은 이미 6월부터 시작되었고 7월말에서야 발견되었다고 한다. 또한 공격자들은 JP모건 체이스의 가장 깊숙한 내부 시스템까지 침입했으며 관리자 권한까지도 완전히 탈취하는 데 성공했다는 소식이다.

“JP모건 체이스가 이번 사고 때문에 감당해야 하는 직접적인 피해는 사실 명성에 금이 간 것 때문에 입을 피해와는 비교도 할 수 없을 겁니다.” 컨트라스트 시큐리티(Contrast Security)의 CTO인 제프 윌리엄즈(Jeff Williams)의 설명이다.

그는 또한 공격자가 창의력을 발휘한다면 장차 감행할 공격을 위해 은행의 기술력을 분석해 그 정보를 어딘가에 저장해놓거나 악성 코드를 심어놓기 위해 소스 제어 시스템에 접근하는 법을 알아만 놓고 활용하지 않거나 하는 등 여러 가지 방법으로 정보를 악용할 소지가 크다고 설명한다. “다만 계정이 안전한지 위험한지의 여부만큼 사소한 세부사항들도 소비자들에게는 중요합니다. 그런 세부사항이 어떻게 악용될지 예측이 불가능한 시대이니까요.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)