Home > 전체기사
쇼피파이의 직원 둘, 상점의 고객 정보 몰래 훔쳐냈다
  |  입력 : 2020-09-24 10:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
9월 15일 정도에 발생한 사건...200여 상점에 몰래 침입해 정보 훔쳐내
지불 관련 정보는 안전한 듯...FBI까지 수사에 참여한 상태라고 알리기도


[보안뉴스 문가용 기자] 대형 전자상거래 플랫폼인 쇼피파이(Shopify)에서 내부자 위협으로 분류될 만한 보안 사고가 발생했다. 지원 팀 직원 두 명이 쇼피파이 플랫폼에 입주한 상점 200여 곳으로부터 고객 정보를 무단으로 빼내 유출시킨 것이다. 특히 거래 이력과 관련된 정보가 이번에 대량으로 새나갔다고 한다.

[이미지 = utoimage]


쇼피파이가 자사 블로그를 통해 공개한 바에 따르면 두 직원이 빼간 데이터는 다음과 같다.
1) 연락처
2) 이름
3) 이메일 주소
4) 거주지 주소
5) 거래 이력
신용카드 관련 정보나 금융 정보는 무사하다고 한다.

사건이 일어났을 때 쇼피파이는 곧바로 유관 기관에 보고하지 않았다. 다만 100% 퓨어(100% Pure)라는 화장품 매장의 고객들에게 이메일을 보냈을 뿐이다. 이 이메일에서 쇼피파이는 거래 내역 관련 정보가 9월 15일 유출되었다고 고지했다. 그리고 두 명의 직원이 문제를 일으켰다는 사실을 알게 되고 쇼피파이는 곧바로 해당 인물들의 네트워크 접근 권한을 없애버렸다. 그리고 경찰에 신고했다.

쇼피파이 측은 해당 사건을 공식 발표하며 “아직까지 유출된 정보가 악용되었다는 증거는 나오지 않았다”고 설명하며 “현재 FBI 및 국제 수사 기관들이 공조를 벌이고 있다”고 덧붙였다. “현재까지 분석된 바 이번 공격은 플랫폼에서 발견된 취약점의 기술적 공략에 의해 행해진 것이 아니며, 쇼피파이에서 활동하는 상점주 대부분은 사건과 무관합니다.”

이 사건은 그 어떤 조직도 안심할 수 없는 내부자 위협의 위험성을 보여준다. 물론 내부자 위협이라고 해서 의도적으로 범죄 행위를 저지르는 직원들만을 말하는 건 아니다. 실제 ‘내부자 위협’으로 분류되는 사건에 연루된 임직원들 거의 대부분은 실수나 부주의로 사건을 일으킨다. 최근 몇 년 동안 꾸준히 발생하는 클라우드 설정 오류 사건 역시 클라우드 사용에 미숙한 임직원들이 실수로 일으킨 것들이 거의 다였다. 이번 쇼피파이 사건처럼 고의적으로 데이터 유출이 일어나는 사례는 조금 더 드문 편이다.

보안 업체 코드42(Code42)의 CEO인 조 페인(Joe Payne)은 “내부자 위협은 사실상 거의 모든 조직에서 늘상 일어나는 일이며 슬랙(Slack), 팀즈(Teams), 원드라이브(OneDrive), 드롭박스(Dropbox)와 같은 협업 도구들의 사용량이 늘어나고 의존도가 높아지면서 생기는 문제”라고 설명한다. “또한 코로나 사태로 인해 원격 근무자가 늘어나면서 이런 사고는 더 많이 생길 것이 분명합니다. 규칙이 상대적으로 느슨하게 적용될 수밖에 없는 곳에서 일을 하면 실수할 확률이 높아지거든요. 원격 근무자들을 보호할 수 있는 보호 장치들은 힘이 없어지고요.”

또한 산업과 회사 규모를 불문하고 젊은 세대의 평균 근속 기간과 근무 시간이 점점 짧아지고 있다는 것도 내부자 위협의 증가를 부추기고 있다고 페인은 설명한다. “회사에 잠깐만 있다가 갈 생각이거나, 서둘러 퇴근을 준비하다보면 데이터를 복사하고 공유하는 것에 대해 조금 더 부주의해질 수밖에 없습니다. 맨날 야근을 하고 한 회사에 충성하라는 게 아니라, 사람의 속성이라는 게 그렇다는 겁니다. 실제 이직한 회사에서 이전 회사의 자료들을 활용한 사례는 점점 증가하고 있기도 합니다.”

의도적 내부자 관련 사고보다 실수에 의한 내부자 사고가 더 많다는 것도 가볍게 볼 사안은 아니다. 왜냐하면 실수로 사고를 치는 경우 대부분 자기가 잘못하고 있다는 사실을 인지하지 못하기 때문이다. 즉, 미래 사고를 막는 게 더 힘들 수 있다는 것이다. “심지어 자기는 데이터를 폭넓고 광범위하게 활용하는 것이 사업에 도움이 된다고 굳게 믿는 사람들도 많습니다. 생산성을 높이기 위해서 어쩔 수 없는 일이라고 여기는 사람들의 마음은 사고 후에도 잘 바뀌지 않습니다. 차라리 악성 행위자였다면 처벌을 통해 교훈이라도 받을 가능성이 있는데 말이죠.”

페인은 “사람의 속 마음을 다 파악하지 않는 이상 고의적 악성 행위자를 미리 탐지한다는 건 불가능에 가깝다”며 내부자 위협이 얼마나 막기 힘든 것인지 설명한다. “그래도 어느 정도 징조가 되는 것들이 있긴 합니다. 일단 악의적 내부자들은 중요한 파일을 유출하기 전 확장자를 바꾸는 편입니다. 그림이나 음악 파일처럼 보이게 하기 위해서죠. 누군가 파일의 확장자를 대량으로 혹은 자주 바꾼다면 의심해볼 수 있습니다.”

근무 시간 외에까지 자주 일을 하는 사람들 역시 통계적으로 수상한 경우가 많다. “데이터를 훔쳐내려는 사람들은 대부분 근무 시간 외에 주로 움직이더군요. 근무 시간 내에 데이터를 이상하게 옮겼다가 걸릴 것이 무서웠나 봅니다. 다들 퇴근하는 때에 작업(?)을 시작하면 덜 수상하게 보일 거라고 생각하는 게 대부분입니다. 따라서 이른 아침이나 밤늦게까지 일하는 빈도수가 높다면 한 번 조사해볼 만합니다.

3줄 요약
1. 쇼피파이의 근무자 둘, 일부 상점의 고객 정보 마음대로 훔쳐냄.
2. 쇼피파이 측은 아직까지 데이터 남용 사례는 없다고 하지만 수사는 진행 중.
3. 내부자 위험 가능성 나타내는 징조들 이해하고 모니터링 하는 게 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)