[보안뉴스 문정후 기자] 여행 산업이 한창 성수기를 지나고 있다. 해커들도 이 사실을 알고 있으며, 여행 산업을 겨냥한 공격 수위를 높이고 있다. 보안 업체 시퀀스(Cequence)는 여행과 숙박 산업에서 가장 인기가 높은 열 개 웹사이트에서 취약점을 찾아낼 수 있었는데, 그중 가장 위험한 취약점의 91%가 불과 네 개 회사에서부터 비롯됐다고 한다.
[이미지 = gettyimagesbank]
시퀀스는 자체 개발한 시퀀스API스파이더(Cequence API Spyder)라는 도구를 활용해 대형 웹사이트들을 조사했다고 한다. 이 도구는 SaaS를 기반으로 하고 있으며, 기업이나 기관의 자산들 중 온라인을 통해 대중에게 공개된 것들(예 : 가시적으로 드러나는 에지나 클라우드 인프라, 애플리케이션 스택, API 호스트, 보안 취약점 등)을 망라해 공격자의 시야를 제공한다는 특징을 가지고 있다. 즉 공격자의 시선으로 여행과 숙박 산업에서 가장 큰 사이트들을 들춘 것이라고 할 수 있다.
“대형 사이트들에서 반복되는 패턴이 나타났습니다. 특정 기간 동안 트래팩이 왕창 올라가는 것도 그런 패턴 중 하나였죠. 당연히 성수기에는 접속하는 사람들이 많으니 그렇습니다. 그런데 같은 기간에 사이버 공격 시도도 급증한다는 사실 역시 이번에 ‘가시적으로’ 발견할 수 있었습니다. 공격자들이 여행 산업에 돈이 쌓이고, 보안에 신경 쓸 겨를이 없는 시기를 정확히 아는 거라고 할 수 있습니다.” 시퀀스 측의 설명이다.
여행 사이트에 어떤 패턴 나타나나
시퀀스가 대형 사이트들에서 찾아낸 주요한 특징들을 정리하면 다음과 같다.
1) 초고위험도 취약점들이 산재한다 : “여행과 숙박 산업에서 가장 크다고 하는 10개 기업들 모두에 초고위험도 취약점이 존재하고 있었습니다. 그 중 91%가 단 4개의 기업에 집중되어 있었고요. 대부분 중간자 공격을 가능케 하는 것으로, 공격자들이 중요한 통신을 중간에서 가로챌 수 있게 해 주는 것이었습니다.”
2) 원래는 공개되면 안 되는 서버들이 공개되어 있다 : “내부에서만 운영되어야 하는 서버가 실수로 공공 인터넷에 노출된 사례가 정말 많았습니다. 10개 기업 중 8개에서 이런 경우를 발견할 수 있었을 정도입니다. 원래 내부에서만 운영되는 것이니 외부와 연결되어 있을 거라고 생각 못하고, 따라서 관리하지 않는 게 보통입니다. 공격자들에게 매우 간편한 공격 통로가 됩니다. 한 기업의 경우 이런 서버가 300개 이상 있었습니다.”
3) 클라우드 스프롤 현상이 만연하다 : “클라우드 스프롤(cloud sprawl)은 관리 밖에 존재하는 클라우드 인스턴스나 서비스 등을 말합니다. 주로 부서와 부서를 합치거나 분리할 때, 기업이 합병되거나 인수될 때, 통일된 클라우드 전략 없이 클라우드를 도입할 때 발생하는 문제입니다. 클라우드 자원이 거기에 있다는 걸 조직 전체가 망각하는 게 클라우드 스프롤이라고 할 수 있는데, 이런 자산도 훌륭한 공격 통로가 됩니다. 주요 여행사나 숙박 업체들은 최소 5개에서 21개의 클라우드 서비스를 사용하고 있는 것으로 조사됐는데, 이러면 관리 난이도가 높아집니다.”
4) 여행 성수기는 공격자들의 천국이다 : “여름 여행 성수기가 지났다고 끝이 아닙니다. 10월부터 여행 산업은 겨울 성수기로 다시 한 번 바빠지죠. 2023년의 경우 바로 이 시기에 여행 사이트들과 숙박 업체들을 겨냥한 DNS 요청 공격과 디도스 공격이 급증했었습니다. 11월이 가장 극성이었는데, 2023년에는 그 어떤 달보다 11월에 공격이 심했습니다.”
여행객들은 상관 없다?
위의 내용은 여행과 숙박을 업으로 하는 ‘기업들’의 문제라고 할 수 있다. 그렇다면 여행객들은 크게 상관하지 않아도 될 내용인 걸까? “사이버 공격이 급증하는 시즌에는 여행객들도 위험합니다. 공격자들은 업체고 소비자고 가리지 않고 공격하거든요. 실제 사기 예약으로 큰 돈을 잃은 사례도 있고, 신원 도용 피해를 입거나 여행지에서 불쾌한 경험으로까지 이어진 경우도 있었습니다. 그러면 소비자들은 여행 업체나 숙박업소를 고소하기 마련인데, 이러면서 회사나 사용자 양측의 피해가 증폭됩니다. 그러면서 여행과 숙박의 디지털 플랫폼에 대한 신뢰도 떨어지고요.”
신용카드와 관련된 범죄도 대단히 많이 일어나는 것으로 분석됐다. “여행과 숙박 웹사이트는 기본적으로 결제 시스템을 가지고 있습니다. 이 때문에 공격이 일어나면 직접적인 금전 피해를 입게 됩니다. 미국 내 기업들은 2025년 3월 31일부터 PCI DSS 4.0을 새로 도입해야 하는데, 이런 신용카드 관련 프로토콜이 최신화 되면 보안 강화에 어느 정도 도움이 됩니다. 여행과 숙박 업체들은 이 새 규정을 오히려 보안 강화와 신뢰 회복의 기회로 삼아야 할 것입니다.” 시퀀스 측의 설명이다.
소비자들이라면 이 시기에 여행 상품을 선택하고 결제할 때 조심에 조심을 거듭해야 한다고 시퀀스는 강조한다. “주로 말도 안 되는 할인 상품을 미끼로 사용하는 사례가 많습니다. 실제 여행사들이 큰 할인을 해 주는 경우도 많고요. 그러니 이 할인이 진짜인지 아닌지, 여행사 측에 전화를 직접 해서 확인하는 등의 절차를 거치는 게 안전합니다.”
3줄 요약
1. 성수기와 비수기 분명한 여행/숙박 산업, 공격자들도 시즌마다 찾아옴.
2. 외부와 연결된 자산들만 잘 관리해도 사이트와 데이터를 비교적 잘 지키는 게 가능.
3. 다가오는 겨울 성수기, 다시 한 번 위기를 맞이할 여행/숙박 산업.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>