세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
유명 체인 레스토랑 애플비, 167개 지점서 POS 공격
  |  입력 : 2018-03-07 15:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이름, 지불 카드 정보, 카드 만기일, CVC 코드 등 유출 가능성 있어
멀티레이어 보안 도입 필요...POS 공격 성공률 점점 높아져


[보안뉴스 문가용 기자] RMH 프랜차이즈 홀딩즈(RMH Franchise Holdings)가 애플비(Applebee)라는 레스토랑 체인의 고객들에게 POS 멀웨어로 인한 피해와 관련해 경고를 발령했다. 미국 15개주 167개 지점에서 POS 멀웨어 공격이 발견됐다는 내용이었다.

[이미지 = iclickart]


해당 공격이 발견된 곳은 앨라배마, 애리조나, 플로리다, 일리노이즈, 인디애나, 캔자스, 켄터키, 미주리, 미시시피, 네브래스카, 오하이오, 오클라호마, 펜실베이니아, 텍사스, 와이오밍이다.

애플비가 멀웨어를 처음 발견한 건 2월 13일의 일이다. 애플비 측은 관련 기관에 이러한 일을 알리고 사이버 보안 전문 업체에 연락해 수사를 시작했다고 한다. 이러한 사실이 공개된 건 3월 2일 자사 블로그를 통해서였다.

“허가를 받지 않은 소프트웨어가 지불 카드 정보를 빼내고 있는 걸 발견했습니다. 해당 지역의 지점에서 이뤄진 거래 정보 일부가 유출되었을 가능성이 존재합니다.”

유출 행위가 직접 이뤄진 날짜는 지점마다 다른 것으로 나타났다. 유출될 가능성이 있는 정보는 고객 이름, 지불 카드 정보, 카드 만기일, 카드 확인 코드(CVC) 등이다.

사이버 보안 업체인 사이버GRX(CyberGRX)의 CEO 프레드 네이프(Fred Kneip)는 “요식 업계와 숙박 업계에 있어 POS 멀웨어가 큰 위협이 되고 있으며, POS 단말기를 노린 사이버 공격이 실제로 증가하고 있다”고 설명한다.

대형 프랜차이즈 식당이나 오프라인 매장에서 대규모 POS 공격이 발견된 건 드문 일이 아니다. 바로 최근까지 소닉(Sonic), 치폴레(Chipotle), 웬디즈(Wendy’s) 등이 이러한 공격에 당했다. “체인 레스토랑들은 꽤나 오랫동안 POS 공격의 표적이었습니다.” 네이프의 설명이다.

“그러므로 체인 레스토랑들은 실시간으로 위협 정보를 받고, 보안 시스템에 반영하는 것은 물론 다른 프랜차이즈들이 어떤 식으로 위협에 대처하고 있으며 리스크 관리를 하는지 서로 모니터링하고 정보를 공유할 필요가 있습니다. 이건 프랜차이즈 본사가 해야 할 일이기도 하지만, 각 지점장들도 책임을 가지고 해야죠.”

또 다른 보안 업체인 뉴데이터 시큐리티(NuData Security)의 책임자 리사 베어겐(Lisa Baergen)도 이에 동의한다. 사이버 범죄자들의 기술은 갈수록 날카롭게 벼려지고 있고, 그에 따라 POS 침투 성공률도 높아지고 있으니 보안과 방어에 남다른 전략을 가지고 접근해야 한다는 것이다.

“온라인 거래를 노린 사이버 공격이 늘어나고, 부당하게 취한 정보를 통한 사기성 거래도 늘어나고 있는 때입니다. 고객도 조심해야 하지만, 체인 레스토랑 측에서도 보안을 강화해야 합니다. 여러 층위의 인증 단계를 통해 사용자 검증을 엄격하게 하는 것도 좋은 방법이겠지요. 특히 사용자의 행동 패턴을 분석해 ‘맥락에 맞는’ 거래가 이뤄지고 있는지 판별하는 것도 사기성 거래를 걸러낼 수 있는 방법 중 하나입니다.”

베어겐은 “멀티레이어 보안을 적용할 필요가 있다”고 강력하게 주장한다. “생체 인증 기술을 적용하면 기껏 훔쳐낸 정보가 쓸모없게 변할 수 있습니다. 공격자가 아무런 이득을 취할 수 없도록 조치하는 것도 방어의 한 방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)