세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[6월 4주 뉴스쌈] 아디다스, 티켓마스터, 패스트부킹 해킹
  |  입력 : 2018-07-01 00:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에퀴팩스 전 매니저, 내부자 거래 혐의로 기소
아디다스·티켓마스터·패스트부킹, 해킹 당해 정보유출
IEEE, “백도어 요구 반대 및 강력한 암호화 지지”


[보안뉴스 오다인 기자] 유명 웹사이트들이 줄줄이 해킹 당했습니다. 정보유출 수위는 저마다 다르지만 기업 이미지 타격은 피할 수 없을 것으로 보입니다. 완벽한 보안은 없고 사고를 면할 방법이 없다면, 후속대응을 얼마나 잘 해내느냐에 기업 수준이 달려있지 않을까요? 6월 마지막 주 뉴스쌈, 시작합니다.

[사진=iclickart]


에퀴팩스 소프트웨어 개발 매니저, 내부자 거래 혐의로 기소
미국의 신용조회 회사 에퀴팩스(Equifax)에서 발생한 초대형 정보유출 사고가 계속해서 안 좋은 소식들을 불러오고 있습니다. 해킹 공격과 관련된 내부자 거래 혐의로 에퀴팩스 직원이 기소됐는데요. 같은 혐의로 기소된 건이 벌써 두 번째입니다.

에퀴팩스에서 소프트웨어 개발 매니저로 일했던 44세 남성 수다카르 레디 본투(Sudhakar Reddy Bonthu)는 지난주 미국 애틀란타 지방법원에 소환됐습니다.

본투는 2017년 에퀴팩스 해킹과 관련한 내부 정보를 이용, 해킹이 외부에 알려지기 전에 풋옵션(put option: 스톡옵션의 한 유형으로, 특정 자산을 사전에 정한 가격으로 지정된 날짜 또는 그 전에 매도할 수 있는 권리)을 구매했습니다. 이를 통해 본투가 벌어들인 수익은 75,000달러(약 8,400만 원) 이상입니다.

에퀴팩스의 준 잉(Jun Ying) 전 최고정보책임자(CIO)도 올해 초 내부자 거래 혐의로 재판을 받았습니다. 잉 CISO는 무죄를 주장했습니다.

아디다스 미국 웹사이트, 해킹 당해 고객정보 수백만 건 유출
아디다스(Adidas) 미국 웹사이트가 해킹 당했습니다. 아디다스는 정보유출 가능성이 있는 고객들에게 관련 사실을 알리고 경고하는 중이라고 밝혔습니다.

아디다스는 웹사이트에 성명문을 발표하며 “6월 26일 인가되지 않은 누군가가 아디다스의 특정 고객들과 연관된 정보에 접근했다는 사실을 파악했다”고 설명했습니다. 고객 연락처 정보, 이용자명, 암호화된 비밀번호 등이 이번 해킹으로 유출됐습니다.

다수의 외신에 따르면, 아디다스 대변인은 수백만 명의 고객이 영향 받을 것이라고 말했습니다. 아디다스는 성명문에서 정확한 피해자 수를 밝히진 않았습니다. 아디다스는 “해당 고객들의 신용카드 정보 또는 건강 정보가 유출됐다는 증거는 없다”면서 해킹 수사를 위해 현재 보안업체 및 사법당국과 협조하고 있다고 밝혔습니다.

티켓마스터, 영국에서 수십만 건 정보유출
티켓예매사이트 티켓마스터(Ticketmaster)의 영국 지점에서 해킹이 발생했습니다. 영국 언론 가디언(The Guardian)에 따르면, 2018년 2월부터 6월 23일까지 티켓마스터에서 콘서트, 영화, 스포츠 경기 등의 티켓을 구매한 모든 사람이 정보유출 대상입니다. 티켓마스터는 고객들에게 신원도용이나 신용카드사기를 주의해야 한다고 공지했습니다.

6월 23일, 티켓마스터는 인벤타 테크놀로지스(Inbenta Technologies)가 호스팅하는 고객지원 툴에서 멀웨어를 탐지했습니다. 이 멀웨어는 티켓마스터 영국 고객들의 정보(이름, 주소, 이메일, 전화번호, 결제 정보, 로그인 정보 등)를 알려지지 않는 곳에 전달하고 있었습니다. 티켓마스터의 전 세계 2억 3,000만 명 고객 중 40,000명 정도가 이번 해킹의 피해자가 됐습니다.

한편, 티켓마스터는 정보유출을 보다 빠르게 공개하지 않는 데 대해 비판을 받고 있습니다. 디지털은행 몬조(Monzo)는 지난 4월 고객들의 카드가 오용되고 있다는 사실을 처음 발견한 뒤, 해당 고객들이 모두 티켓마스터에서 쇼핑을 한 사람들이라는 점을 파악했습니다. 몬조는 티켓마스터 측에 공지했지만 아무런 답변을 받지 못했다고 밝혔습니다.

몬조는 티켓마스터를 이용한 고객들에게 카드를 교체하고, 우버(Uber)·넷플릭스(Netflix)·젠드페이(Xendpay) 등의 사이트에서 허위 활동이 발생하는지 지켜보라고 권고했습니다.

패스트부킹 해킹으로 호텔 수백 곳 정보유출
프랑스의 호텔예약 소프트웨어 제공업체 패스트부킹(FastBooking)도 해킹 공격을 받았습니다. 패스트부킹은 공격자가 투숙객들의 개인정보 및 신용카드정보를 빼돌렸다며 고객사 호텔들에 경고했습니다. 패스트부킹은 전 세계 100개국 4,000개 파트너 호텔들을 보유하고 있습니다.

패스트부킹에 따르면, 해킹은 6월 14일 발생했습니다. 고객사에 보낸 이메일에서 패스트부킹은 공격자가 웹 애플리케이션의 취약점을 익스플로잇했다고 설명했습니다. 해당 웹 애플리케이션은 패스트부킹 서버에 호스팅돼 있었으며, 멀웨어가 설치된 것으로 드러났습니다. 이를 통해 공격자는 투숙객들의 이름, 국적, 주소, 이메일, 예약 관련 세부사항(호텔명, 체크인·체크아웃 날짜 등)을 빼돌렸습니다.

일부 투숙객의 경우, 결제카드정보까지 유출 당했습니다. 카드명, 카드번호, 만료일자 등을 포함해서 말이죠. 공격자는 호텔마다 각기 다른 정보들을 빼돌린 것으로 추정됩니다. 패스트부킹 고객사들은 모두 다른 방식과 수준에서 피해를 입었습니다.

해외 보안매체 블리핑컴퓨터(BleepingComputer)에 따르면, 패스트부킹은 투숙객들에게 공격 사실을 알리기 위해 고객사에 사후대응 템플릿을 제공하는 중입니다. 이와 함께 각국 정보보호 기관에 개인정보 및 결제정보가 어떻게 유출됐는지 공지하기 위한 템플릿도 제공하고 있습니다.

IEEE, “강력한 암호화 지지...백도어 부정적 영향 커”
국제전기전자공학회(IEEE)가 정부의 백도어 요구를 반대하며 강력한 암호화를 지지한다는 성명서를 발표했습니다. “IEEE는 정보통신의 기밀성과 무결성을 보호하기 위해 외부의 간섭에서 자유로운 강력한 암호화 사용을 지지한다. 우리는 강력한 암호화 사용을 제한하고 ‘백도어’ 또는 ‘키에스크로 책략(key escrow schemes)’ 같은 예외적인 접근 메커니즘을 의무화하려는 정부의 노력에 반대한다.”

IEEE에 따르면, 백도어와 키에스크로식 접근은 암호화 영역에 취약점을 비롯한 기타 부정적인 영향을 불러일으킵니다. IEEE는 사법당국이 백도어 설치 외에 다른 선택지들을 갖고 있다고 밝혔습니다. 법적 조치, 포렌식 분석, 용의자에게 비밀번호를 요구하는 등의 행위가 이에 해당됩니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)