해커들, 금고를 열 수 없을 때 열쇠를 가진 사람을 공격
이 세상에 단독으로 사업을 꾸리는 회사는 없어

[보안뉴스 문가용] 1억 1천만 건의 개인정보와 수천만 달러가 유출된 (당시까지) 역사상 최고의 보안사고가 타깃(Target)이라는 대형 온라인 쇼핑몰에서 발생했다. 아니, 정확히 말하면 타깃의 고객들에 대한 정보가 유출되었고, 사건의 시작점은 타깃의 서드파티 공급업체인 파지오 메커니컬 서비스(Fazio Mechanical Services)였다. 타깃의 난방, 환기, 에어컨 장치를 담당하는 회사였을 뿐이었다.
 

 ▲ 세상은 넓고 경로는 많다.
하지만 해커들은 파지오 메커니컬 서비스를 통해 타깃의 네트워크에 접속하는 데에 성공했다. 그리고 장장 19일 동안 회사 일분기 총수입의 46%를 잡아먹었다. 그리고 지금까지 100건이 넘는 법정 싸움이 진행되고 있으며 타깃의 CEO인 그렉 스타인하펠(Gregg Steinhafel)과 CIO인 베스 제이콥스(Beth Jacobs)는 자리에서 물러났다.

“사고 규모도 규모지만 서드파티를 통한 공격이 얼마나 위험한지 제일 잘 보여주는 사건이었습니다. 누구도 겪기 싫은 일을 엮은 것이죠.” 보안 정보 회사인 비트사이트(BitSight)의 CEO인 스티븐 보이어(Stephen Boyer)의 설명이다.

물론 ‘제일 잘 보여주는 사건’이긴 했지만 그렇다고 처음 있는 일도 흔치 않은 일도 아니다. 2013년 8월 뉴욕 타임즈 역시 DNS 제공업체를 경유한 해킹 공격을 겪었다. 록히드마운틴사도 RSA 시큐어아이디(RSA SecurID)가 제공하는 보안 시스템을 통한 공격을 받아 고생 좀 했다.

트위터, 핀터레스트, 텀블러 등의 소셜 네트워크의 사용자 정보도 무사하지 못했는데, 역시나 젠데스크(Zendesk)라는 서비스 제공업체를 통해서였다(2013년 2월). 보안 회사인 클라우드플레어(CloudFlare)의 경우는 CEO의 지메일 계정이 문제의 근원지가 되었다.

이렇게 ‘서드파티를 공략하라’는 건 해커들 사이의 교과서와 같은 공격방법이 되어가고 있다. 물론 보안업계도 이를 잘 인지하고 있다. 인포메이션위크지에서 실시한 한 설문에서 보안담당자들은 ‘우리 회사보다 우리의 파트너 회사 때문에 더 불안하다’고 분명히 답을 한 바가 있다. 주요 이유로는 아웃소싱 업체나 클라우드 서비스 업체에 대한 감사나 평가를 할 수 없다는 것과 최신 기술로 무장한 신제품에 분명히 있을 취약점이 두렵다는 점을 꼽았다.

“해커가 어느 회사를 공격하고 싶은데 보안망이 너무 단단해서 어떻게 할 수가 없을 때, 그 회사에 인터넷을 제공해준다든지 물리 보안 시스템을 해주는 협력업체를 경유하면 일이 더 쉬워집니다. 즉 금고를 직접 공격하는 것보다 금고 열쇠를 가지고 있는 자를 찾는 편이 더 효율적이라는 것이죠.” 애큐번트(Accuvant)의 정보 리스크 책임자인 제임스 크리스쳔슨(James Christiansen)의 설명이다.

이런 식으로 ‘경유하는’ 공격을 당했을 때 보통 직접 공격을 당한 것보다 복구비용이 더 많이 발생한다. 2013년 미국 기업들 중 유출사고를 겪은 기업의 평균 복구비용은 정보 한 건당 201달러였다. 그러나 서드파티를 경유한 유출사고를 겪은 기업의 평균 복구비용은 정보 한 건 당 14.80달러 더 높은 것으로 조사됐다.

모든 걸 단독으로 운영하는 회사는 단연컨대 없다. 누가 나무와 돌을 직접 캐다가 사무실을 직접 지어올리고, 그 안에 물을 끌어다대고 자가 발전기를 돌릴까? 분명히 회사는 또 다른 회사와 사업 관계를 맺고 있다. 이제 보안담당자의 시야에는 이런 회사의 거미줄 같은 관계도까지 들어와야 한다. 내 회사만 지키는 것으로는 부족하다.

“그러나 이런 것까지 보안담당자에게 요구하는 건 꽤나 불공평해 보입니다. 보안담당자가 할 수 있는 일이라고는 질문해서 확인하는 것 뿐이거든요.” 보이어 씨가 답답한 심경을 표했다. “동등한 위치에서 사업관계를 맺고 있는데 저희가 어떻게 그쪽 시스템을 검사하나요.” 하지만 그럼에도 공격은 계속해서 그쪽 방향에서부터 들어오고 있는 것이 현실이다. 동시에 보안담당자의 영역 밖의 문제인 것도 사실이다. 회사들이 회사 차원에서 다른 회사와 계약관계를 맺을 때 보안에 대한 항목을 준비해야 할 때다.

안 그러면 당신만 손해다.
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>