로열티 프로그램 노리는 사이버 공격자들, 경제 구조의 사각지대 공략

포인트나 마일리지가 쌓이는 계정, 소비자들이 그리 민감하게 신경 쓰지 않아
지금 경제적 어려움으로 포인트 별로 안 쌓여 있어도 숙성 과정 통해 가치 높여

[보안뉴스 문가용 기자] 고객들에게 무료로 커피를 준다거나, 주유권을 제공하거나, 항공사나 호텔의 마일리지를 추가해주는, 이른 바 ‘로열티 프로그램’이 코로나로 인해 어려워진 경제 여건 속에서 사이버 범죄의 표적이 되고 있다. 공격자들은 로열티 프로그램에 가입되어 있고 포인트가 쌓인 계정들을 훔쳐 내 판매함으로써 적잖은 수익을 올리고 있다고 한다.

[이미지 = utoimage]

보안 업체 아카마이(Akamai)에 따르면 “2018년 7월부터 2020년 6월 사이에 도소매, 여행, 숙박 업계를 겨냥한 크리덴셜 스터핑 공격이 630억 번 이상 발생했다”며 “전부가 소비자들에게 제공되는 각종 상품을 궁극적으로 노리기 위한 것”이었다고 설명한다. “소비자들 중에 포인트를 매일처럼 확인하고 기억하는 사람은 거의 없습니다. 누군가 포인트를 노린다는 생각 자체를 하기 힘듭니다. 그렇기 때문에 상품 포인트가 쌓이는 계정도 잘 보호하지 않습니다. 심지어 비활성화 된 경우도 많죠. 공격자들에게는 쉬운 표적이 될 수밖에 없습니다.”

크리덴셜 스터핑 외에 다른 웹 공격 기법을 통해서도 사이버 범죄자들은 로열티 프로그램을 공략한다고 한다. 아카마이는 보고서를 통해 “SQL 주입 공격이나 로컬 파일 내포 공격을 실시하는 경우도 제법 있다”고 밝혔다. 2018년 7월부터 2020년 6월까지 발견된 ‘웹 공격’은 40억 번이며, 이는 해당 기간 동안 발생한 온라인 공격 전체의 41%를 차지할 정도라고 한다.

물론 은행 계좌를 훔치는 것과 ‘포인트 계정’을 훔치는 것은 차원이 다른 일이다. 은행 계좌를 훔쳤을 때의 금전적 이득은 이해하기가 쉽다. 그렇다면 각종 온라인 쇼핑몰의 포인트나 마일리지는 어떤 식으로 공격자들에게 이득을 가져다줄까? 보고서에 따르면 “일단 누적된 포인트나 마일리지의 양과 상관없이 계정 정보 자체만으로도 일단 다크웹에 판매할 수 있다”고 한다. 그리고는 쌓인 포인트의 종류와 양에 따라 여러 가지 가격이 매겨진다.

아카마이가 발견한 바에 따르면 호텔 무료 숙박권 혹은 4만 포인트 이상이 걸린 계정의 경우 약 30불에 판매된다고 한다. “이러한 계정을 몇 개 사면 마일리지 혹은 포인트를 모아서 호텔에 무료로 숙박하거나 비행기를 한 번 무료로 탈 수 있게 되는 겁니다. 여행 패키지 상품을 정상적으로 구매했을 때 2천 불이 된다고 하면, 다크웹에서 포인트 상품을 잘만 하면 700~800달러로 여행할 수 있게 됩니다.”

지난 달 포터(Forter)가 발표한 ‘사기 공격 지수(Fraud Attack Index)’ 보고서에 의하면 “코로나 때문에 여행사와 항공사, 숙박 업계가 큰 타격을 입으면서 로열티 프로그램 자체가 줄어들었으며, 따라서 로열티 프로그램을 노린 공격 자체도 크게 줄어들었다”고 한다. 다만 “그렇다고 해서 로열티 프로그램을 노리는 공격 자체가 사라지고 있다는 뜻은 아니”라고 포터는 덧붙였다.

“로열티 프로그램 관련 계정을 훔치는 사기꾼들은 지금 당장은 포인트가 별로 안 쌓인 계정이라도 부지런히 훔쳐내고 있습니다. 계정에 접근만 해놓고 숙성되도록 기다리는 겁니다. 숙성이라고 하면 시간이 지나면서 포인트가 더 쌓이도록 한다는 뜻이 되기도 하고, 해당 계정의 신뢰도가 높아지기를 기다렸다가 나중에 공격하면 탐지가 잘 되지 않기도 하고요. 그렇기 때문에 지금 특정 산업이 어려움을 겪는다고 하더라도 훔치지 않을 이유가 되지는 않습니다.” 포터의 설명이다.

아카마이는 “2020년 1사분기 때 사이버 범죄자들이 로열티 프로그램 계정을 노리는 공격 수위를 급격히 늘렸다”며 “지금쯤 자신들이 확보한 비밀번호와 사용자 이름이 지금도 잘 통하는지 실험해볼 것”이라고 경고했다. “그렇다는 건 이맘때쯤 크리덴셜을 대입하는 공격이 많아질 가능성이 높다는 뜻입니다. 또한 로열티 프로그램이나 포인트/마일리지가 많이 누적될 시즌이기도 하고요. 따라서 다시 한 번 자신의 포인트 및 마일리지 계정을 살필 때가 됐습니다.”

3줄 요약
1. 최근 사이버 공격자들, 각종 산업의 포인트와 마일리지 노리는 공격 실행 중.
2. 다크웹에서 포인트가 쌓인 계정들은 높은 인기를 얻고 있음. 즉 팔면 돈이 됨.
3. 1사분기에 공격 수위 높였던 공격자들, 곧 다시 높일 시간 찾아올 듯.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)