[보안 따라잡기]리테일·여행·호텔 계정정보 관리 주의보

(그래픽=아카마이 제공)

[이데일리 이후섭 기자] 최근 2년간 리테일·여행·호텔 업계를 대상으로 한 `크리덴셜 스터핑` 공격이 630억건 이상 발생한 것으로 나타났다.

해당 업체들에 쌓인 개인정보가 유출돼 판매, 거래되거나 신원 도용 등의 범죄에 악용될 수 있어 각별한 주의가 요구된다.

31일 글로벌 보안기업 아카마이에 따르면 최근 발표한 `2020년 인터넷 보안 현황 보고서:리테일 및 호텔 업계의 로열티 프로그램을 겨냥한 사기 범죄` 보고서에서 2018년 7월부터 2020년 6월 사이 리테일·여행·호텔업계를 대상으로 약 630억건의 크리덴셜 스터핑 공격이 발생했다고 밝혔다.

크리덴셜 스터핑은 다수의 사람들이 모든 계정에 동일한 아이디와 패스워드를 사용하는 점을 이용한 수법이다. 해커들은 비교적 보안이 취약한 사이트를 공격해 사용자의 계정 정보를 탈취하고, 이를 활용해 다른 계정에도 접속해 개인정보를 탈취하거나 해킹을 시도한다.

스티브 레이건(Steve Ragan) 아카마이 보안 연구원 겸 인터넷 보안현황 보고서 저자는 “공격자는 그리 까다롭지 않다. 접근할 수 있는 정보 라면 어떤 식으로든 이용한다”며 “리테일 및 로열티 프로필은 많은 양의 개인 정보와 재무 정보를 포함한다. 이러한 데이터는 수집, 판매, 거래되거나 추후 신원 도용과 같은 범죄에 사용되는 대규모 프로필 정보로 저장될 수 있다”고 우려했다.

해당 공격자들은 올 1분기 코로나19로 인한 봉쇄 기간 동안 전 세계적인 이례적 상황과 유출된 비밀번호 조합 목록을 이용해 커머스 업계를 공격 대상으로 삼았다. 해당 기간 공격자가 새로운 취약 계정을 알아내기 위해 오래된 인증정보 목록을 재활용하기 시작하면서 로열티 프로그램과 관련된 범죄 인벤토리 및 판매가 크게 증가했다는 분석이다.

아카마이는 2018년 7월부터 2020년 6월까지 모든 업계에 걸쳐 1000억건 이상의 크리덴셜 스터핑 공격을 관측했다. 이중 리테일·여행·호텔 업계를 포함하는 커머스 부문에서는 약 630억건의 크리덴셜 스터핑이 확인됐고, 커머스 부문에서 발생한 공격 중 90% 이상이 리테일 업계를 대상으로 발생했다.

로열티 프로그램에 필요한 요소와 프로그램 활용을 위해 사람들이 제공하는 정보를 고려하면 공격자는 계정 탈취부터 직접적인 신원 도용에 이르기까지 수많은 범죄 사업에 필요한 모든 정보를 얻을 수 있다. 상품 판매자, 항공사, 호텔 체인에 대한 개인의 충성도는 판매할 수 없겠지만, 충성도를 높이기 위한 프로그램 관련 계정 정보는 실제로 판매될 가능성이 높다.

레이건 연구원은 “대표적인 로열티 프로그램 중 휴대폰 번호와 숫자로 된 비밀번호만 요구하는 경우도 있고 쉽게 얻을 수 있는 정보를 인증 수단으로 사용하는 프로그램도 있다”며 “API 및 서버 리소스를 겨냥한 공격을 막기 위해 신원 정보관리 개선과 대책 마련이 시급하다”고 말했다.