파트너사 실수? 계정 탈취? 아직 정확한 정보 공개되지 않아
중앙에서 모든 정보 관리했다는 것 자체가 문제라는 지적도 있어

[보안뉴스 문가용 기자] 온라인 여행사인 오비츠(Orbitz)에서 데이터 유출 사고가 발생했다. 이로 인해 약 88만 명의 고객들이 피해를 입은 것으로 밝혀졌다.


[이미지 = iclickart]

오비츠는 익스피디아(Expedia)의 자회사로 오늘 성명서를 통해 “일부 고객들의 지불카드 정보가 새나갔다”며 “2016년 1월 1일부터 2016년 6월 22일까지 구매를 실시한 고객들의 경우는 개인정보도 유출된 것으로 보인다”고 발표했다. 또한 “2016년 1월 1일부터 2017년 12월 22일 사이에는 파트너사 플랫폼을 통해서도 지불과 관련된 정보가 유출되기도 했다”고도 했다.

하지만 오비츠는 아직 데이터 유출 사고의 세부적인 내용은 공개하고 있지 않다. 이전 타깃(Target) 사건처럼 서드파티를 통한 사고인지, POS 멀웨어에 당한 것인지, 내부자의 실수로 인한 것인지, 아무 것도 알려진 바가 없다.

보안 매체 시큐리티위크(Securityweek)는 콤패리테크(Comparitech)의 개인정보 담당자인 폴 비쇼프(Paul Bischoff)의 말을 인용해 “오비츠가 간간히 파트너사라는 말을 사용하고 있는 것으로 보아 파트너사의 실수나 잘못이 개입되어 있는 사건인 것으로 의심된다”는 쪽으로 한 표를 던졌다. 실제로 대중들에게 노출된 기업들보다 상대적으로 덜 알려지고 보안 장치가 미비한 서드파트를 통해 침투하는 해킹 행위는 꾸준히 발생하고 있다.

하지만 인증 전문 기업인 WW패스(WWPass)의 전략부 부회장인 페리 샤피(Perry Chaffee)는 도난당한 정보들이 중앙 데이터베이스에 저장되어 있는 것들이었다며 높은 권한을 가진 계정으로만 접근이 가능했을 것이라고 지적한다. 따라서 계정 탈취 공격이 제일 먼저 의심된다고 가능성을 제기한다. “또 다른 가능성이 있다면 중앙 서버의 백엔드가 노출되어 있을 수도 있어요.”

버라이즌(Verizon)이 발표한 데이터 침해 사고 보고서에 의하면 데이터가 유출되는 경우의 81%가 권한이 높은 계정의 크리덴셜이 탈취됨으로써 발생한다. 백엔드가 노출되어 있는 경우는, 없진 않지만 19%에 불과하다. 그래서 페리 샤피도 “관리자 크리덴셜이 여러 방법으로 도난당했을 가능성이 가장 크다고 본다”고 말한다.

해커들의 침투 사실이 밝혀진 건 2018년 3월 1일의 일이다. 아직 정확한 날짜가 밝혀지진 않았지만 실제 침투가 발생한 건 2017년 10월 1일과 2017년 12월 22일 사이일 것이라고 오비츠 측은 보고 있다. 예전 Orbitz.com 플랫폼에서 불법적인 접근 흔적이 발견되면서 수사가 시작됐고, 이로 인해 유출 사고가 드러난 것이다.

정확히 어떤 정보가 유출됐는지도 아직까지는 밝혀지지 않고 있다. 하지만 고객들의 이름, 지불카드 정보, 생년월일, 전화번호, 이메일 주소, 우편 주소, 성별 구분 정보 등이 유출됐을 거라고 오비츠 측은 보고 있다. “하지만 여권번호나 여행 이력 정보, 사회보장 번호 등의 여러 다른 민감한 정보들이 유출되었다는 증거는 찾지 못했습니다.”

한편 또 다른 보안 업체 하이퍼(HYPR)의 CEO인 조지 아베티소프(George Avetisov)는 “유출 사고가 어떻게 일어났든, 그렇게나 많은 개인의 정보와 기록들이 한 군데에 저장되어 있었다는 것 자체가 이미 큰 문제”라고 지적한다.

“중앙에서 모든 크리덴셜을 한 뭉텅이로 관리했을 때의 위험성이 드러난 사건이죠. 생체 정보, PIN 번호, 비밀번호, 카드 정보를 모두 한 곳에 보관하고 관리하면, 딱 한 번 실수나 성공으로도 큰 일이 발생합니다. 운 좋은 성공이나, 하필 딱 한 번 했던 실수가 치명적으로 작용하게 되는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>