외부 해킹 아닌 ‘내부자 소행’ 추정…5개월간 탐지 못해 피해 확대
글로벌 이커머스 업계 ‘내부자 위협’ 반복 노출 피해
[보안뉴스 여이레 기자] 쿠팡에서 3370만 건의 고객 정보가 유출되는 초대형 보안 사고가 발생했다. 이번 사고는 외부 해킹이 아닌 중국 국적 전직 직원에 의한 ‘내부자 위협’(Insider Threat)으로 알려졌다.
[자료: 연합뉴스]
1일 업계에 따르면 쿠팡은 경찰에 ‘신원불상자’를 대상으로 고소장을 제출했지만, 개인정보보호위원회에 제출한 사건경위 보고서엔 중국 국적 전직 직원의 범죄 정황을 구체적으로 적시한 것으로 알려졌다. 또 경찰 수사 과정에서 중국 국적의 직원이 해외 체류 중 개인정보를 빼돌린 뒤 협박성 이메일을 보낸 정황도 포착된 것으로 확인됐다.
내부자 위협은 조직의 네트워크나 시스템에 대한 정당한 접근 권한을 가진 직원, 계약자, 비즈니스 파트너 등이 의도적으로 또는 실수로 접근 권한을 악용해 발생하는 사이버 보안 위협이다.
내부자 위협은 크게 네 가지 유형으로 구분된다. 악의적 내부자는 금전적 이익이나 복수를 목적으로 의도적으로 데이터를 탈취하며, 부주의한 내부자는 피싱 공격에 속거나 보안 프로토콜을 무시하는 등 실수로 위협을 초래한다.
침해된 내부자는 로그인 자격증명이 도난당해 외부 공격자가 내부 권한을 악용하는 경우이며, 공모형 내부자는 외부 범죄 조직과 협력해 금전적 대가를 받고 정보를 제공한다.
이같은 내부자 위협은 이커머스 업계도 예외도 아니다. 글로벌 이커머스 플랫폼들 역시 내부자 위협에 내홍을 겪어왔다.
이베이는 지난 수년간 내부 직원에 의한 계정 오남용 사건을 겪었다. 특히 2014-2018년 사이 직원들이 판매자 계정에 무단 접근하거나 권한을 남용해 계정 변경·노출 조작을 시도한 사례가 다수 확인되면서, 플랫폼 내부 통제 체계가 구조적으로 취약하다는 지적이 이어졌다.
아마존은 2018년부터 2020년까지 공모형 내부자 사건에 노출됐다. 아마존 직원들이 중국 셀러에게 구매자 이메일, 전화번호, 주문 정보를 판매한 것이다. 중국 셀러들이 경쟁 우위를 확보하기 위해 아마존 직원에게 금전을 제공해 데이터를 확보한 사례도 확인됐다.
내부 직원이 특정 셀러의 경쟁 업체 정보를 삭제하거나 별점·상품 노출 순위 조작을 시도한 정황까지 포착됐다. 아마존은 즉시 문제 직원들을 해고하고 미국 연방수사국(FBI) 등 법 집행기관과 협력해 수사에 착수했다.
캐나다 이커머스 플랫폼 쇼피파이에선 2020년 9월 고객지원팀 소속 직원 2명이 권한을 악용해 일부 데이터에 무단 접근하는 내부자 공격이 일어났다. 이로 인해 쇼피파이 입점 판매사 정보와 고객 정보가 유출됐다.
쇼피파이는 고객 신용카드 정보나 계정 비밀번호 등 민감 정보는 노출되지 않았다고 해명했으나, 플랫폼 입점 판매자들은 내부자 권한만으로도 주요 데이터에 접근 가능했다는 점에 반발했다.
쿠팡 사태는 이제 국내 이커머스 업계도 외부 해킹보다 더 위험할 수 있는 내부자 위협에 직면했다는 점을 보여준다고 업계는 입을 모은다. 접근 권한 관리, 로그 모니터링, 퇴사자 계정 통제, 이상 행위 탐지 등 내부자 통제 체계 전반에 대한 재점검이 시급하다는 지적이 나온다.
[여이레 기자(gore@boannews.com)]
글로벌 이커머스 업계 ‘내부자 위협’ 반복 노출 피해
[보안뉴스 여이레 기자] 쿠팡에서 3370만 건의 고객 정보가 유출되는 초대형 보안 사고가 발생했다. 이번 사고는 외부 해킹이 아닌 중국 국적 전직 직원에 의한 ‘내부자 위협’(Insider Threat)으로 알려졌다.
[자료: 연합뉴스]
1일 업계에 따르면 쿠팡은 경찰에 ‘신원불상자’를 대상으로 고소장을 제출했지만, 개인정보보호위원회에 제출한 사건경위 보고서엔 중국 국적 전직 직원의 범죄 정황을 구체적으로 적시한 것으로 알려졌다. 또 경찰 수사 과정에서 중국 국적의 직원이 해외 체류 중 개인정보를 빼돌린 뒤 협박성 이메일을 보낸 정황도 포착된 것으로 확인됐다.
내부자 위협은 조직의 네트워크나 시스템에 대한 정당한 접근 권한을 가진 직원, 계약자, 비즈니스 파트너 등이 의도적으로 또는 실수로 접근 권한을 악용해 발생하는 사이버 보안 위협이다.
내부자 위협은 크게 네 가지 유형으로 구분된다. 악의적 내부자는 금전적 이익이나 복수를 목적으로 의도적으로 데이터를 탈취하며, 부주의한 내부자는 피싱 공격에 속거나 보안 프로토콜을 무시하는 등 실수로 위협을 초래한다.
침해된 내부자는 로그인 자격증명이 도난당해 외부 공격자가 내부 권한을 악용하는 경우이며, 공모형 내부자는 외부 범죄 조직과 협력해 금전적 대가를 받고 정보를 제공한다.
이같은 내부자 위협은 이커머스 업계도 예외도 아니다. 글로벌 이커머스 플랫폼들 역시 내부자 위협에 내홍을 겪어왔다.
이베이는 지난 수년간 내부 직원에 의한 계정 오남용 사건을 겪었다. 특히 2014-2018년 사이 직원들이 판매자 계정에 무단 접근하거나 권한을 남용해 계정 변경·노출 조작을 시도한 사례가 다수 확인되면서, 플랫폼 내부 통제 체계가 구조적으로 취약하다는 지적이 이어졌다.
아마존은 2018년부터 2020년까지 공모형 내부자 사건에 노출됐다. 아마존 직원들이 중국 셀러에게 구매자 이메일, 전화번호, 주문 정보를 판매한 것이다. 중국 셀러들이 경쟁 우위를 확보하기 위해 아마존 직원에게 금전을 제공해 데이터를 확보한 사례도 확인됐다.
내부 직원이 특정 셀러의 경쟁 업체 정보를 삭제하거나 별점·상품 노출 순위 조작을 시도한 정황까지 포착됐다. 아마존은 즉시 문제 직원들을 해고하고 미국 연방수사국(FBI) 등 법 집행기관과 협력해 수사에 착수했다.
캐나다 이커머스 플랫폼 쇼피파이에선 2020년 9월 고객지원팀 소속 직원 2명이 권한을 악용해 일부 데이터에 무단 접근하는 내부자 공격이 일어났다. 이로 인해 쇼피파이 입점 판매사 정보와 고객 정보가 유출됐다.
쇼피파이는 고객 신용카드 정보나 계정 비밀번호 등 민감 정보는 노출되지 않았다고 해명했으나, 플랫폼 입점 판매자들은 내부자 권한만으로도 주요 데이터에 접근 가능했다는 점에 반발했다.
쿠팡 사태는 이제 국내 이커머스 업계도 외부 해킹보다 더 위험할 수 있는 내부자 위협에 직면했다는 점을 보여준다고 업계는 입을 모은다. 접근 권한 관리, 로그 모니터링, 퇴사자 계정 통제, 이상 행위 탐지 등 내부자 통제 체계 전반에 대한 재점검이 시급하다는 지적이 나온다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
