EMV로 체제 바꾼 미국, 연말연시에 온라인 사기 급증할 듯
현대의 일반 기업이 염두에 둘 만한 온라인 방어법
.jpg)
[보안뉴스 문가용] 연말연시가 다가온다는 건 곧 쇼핑 시즌이 다가온다는 것. 온라인 쇼핑센터들이 벌써부터 부산스럽다. 특히 타깃(Target) 사건과 연이은 POS 단말기 해킹 사건으로 미국 쇼핑업체들은 신상품 선정과 입고, 광고, 홍보만큼 데이터 보안에도 각별한 신경을 쓰고 있다고 한다.
게다가 미국은 최근 자기띠 방식의 신용카드를 칩앤핀(Chip and Pin) 방식으로 전부 전환하기도 했다. 물론 실제 모든 가게의 단말기나 모든 사용자의 카드가 실제 새 것으로 교체되려면 시간이 더 걸리기는 하겠지만 말이다. 이 덕분에 향후 몇 년 간 매장에서의 신용카드 사기는 크게 줄어들 것으로 기대하고 있다.
하지만 그런 ‘기대치’에 보안업계가 축포를 터트릴 수는 없다. 왜냐하면 해커들이 매장 내 신용카드 사기가 어렵다고 풀이 죽어 전업을 할 리가 없기 때문이다. 한 군데 구멍이 틀어막히면 반드시 다른 곳을 뚫어내는 것이 해커들의 습성이고, 사실이다. 그리고 실제로 해커들은 칩앤핀의 도입에 맞서 온라인 상의 무카드 거래 사기라는 방법을 택했다. 이는 미국 이전에 EMV를 도입한 모든 나라들에서 공통으로 나타난 현상이라 미국이 카드 방식을 전면 교체한다고 했을 때 이미 예견된 바였다. “결국 신용카드 관련 범죄가 오프라인에서 온라인으로 옮겼을 뿐입니다.” 지불 관련 보안 표준인 PCI SSC의 국제부 책임자인 제레미 킹(Jeremy King)의 설명이다.
유럽은 이미 10년도 훨씬 전에 EMV 시스템을 도입한 바 있다. 그 결과 신용카드 위조를 통한 범죄는 확실히 줄어들었다고 킹은 설명을 이었다. “그러나 대신 온라인 사기 및 범죄 행위가 급증했죠. 무슨 범죄 질량의 법칙처럼 말이죠. EMV나 칩앤핀으로 바꾼다고 모든 카드 관련 범죄가 없어진다고 기대하면 안 됩니다. 매장 내 사기행위에 대한 방지책으로는 유용하지만 온라인 범죄에 대해서는 그 한계가 명확히 드러났거든요.” 즉 쇼핑물 주인으로서는 걱정이 줄었다고 볼 수 없다는 것이다.
그리고 실제로 인터넷 쇼핑몰을 운영하는 매장주들의 분위기는 그리 좋지는 않다. 전부 ‘혹시 내가 다음 타깃이 되는 건 아닐까? 홈데포 다음은 난가?’라는 불안감에 휩싸여 있기 때문. 현재 이런 암울한 기운을 뿜어대고 있는 공포의 정체가 정확히 무엇인지 먼저 정리해보자. 그런 후 어떤 전략이 현재 사용가능한지 알아보도록 하겠다.
공포의 정체 1 : 무카드 결제 사기
매장 내 사기가 급감하는 대신 온라인 사기가 급증할 거라는 예보가 나돌기 시작하면서 쇼핑물 주인들의 얼굴색이 급변했다. 여태까지 온라인 사기가 없었던 것도 아닌데 새삼스럽게 뭘 그러느냐, 라고 물을 수도 있는데, 사실 카드 관련 사기를 치는 범죄자들은 온라인 무카즈 결제 사기 수법을 그다지 선호하지 않았었다. 매장 내 결제 사기보다 훨씬 리스크가 컸기 때문이다.
온라인에서 결제를 하려면 보통 등록을 하고 로그인을 해야 하는데, 사이트에 따라 공식 신분증에 준하는 자료를 요구하기도 했으며 이메일 주소, 우편주소 등을 요구하기도 한다. 신분을 최대한 감추어야 하는 범죄자 입장에서 이는 난감한 절차다. 하지만 이제 범죄자들에게 이것 외에 다른 옵션은 거의 다 사라졌다고 봐도 무방하다. 선택지가 하나만 남았을 때 해커들이 얼마나 큰 창의력과 집중력을 발휘하는지 우리는 잘 알고 있다.
공포의 정체 2 : 사람이라 실수합니다
해킹의 위험에 대한 인식이 지난 몇 년간 수없이 바뀌어 왔는데 정작 공격 그 자체는 크게 변하지 않았다. 기술적인 측면에서 보자면 사실 해킹 공격은 거의 다 거기서 거기다. 밑이 없는 바다처럼 제로데이 취약점은 캐고 또 캐도 나오며 멀웨어 익스플로잇 킷은 화상 탐사 로켓보다도 첨단 과학의 결정체인 냥 언급된다. 해커들의 승전보는 어느 뉴스에서나 쉽게 찾아볼 수 있으며 보안은 그 뒤를 쫓기에만도 숨 가쁜 것처럼 보인다.
하지만 대부분의 사건을 캐다보면 결국 공격의 가장 직접적인 요인은 ‘멀웨어 기술의 발달’이 아니라 ‘늘 똑같은 사람의 실수’라는 결론에 다다른다. 패치를 안 해서, 환경설정을 똑바로 하지 않아서 늘 구멍을 찾아 헤매는 해커들에게 단초를 제공한다. 버라이즌이 2015년에 발표한 ‘데이터 유출사고 수사 보고서(Data Breach Investigation Report)’를 보면 멀웨어의 발전이 빠르게 이루어지는 건 분명하지만 성공적인 공격의 70%가 이미 널리 알려진 오래된 방법들을 통해서 이루어진다고 나온다. 알아도 뚫리는 세상에, 모르면 모를수록 뚫릴 수밖에 없는데, 사람이 어찌 모든 걸 다 알 수 있을까.
공포의 정체 3 : 그 유명한 APT 공격
그렇다고 사람에만 집중할 수도 없다. 사이버 공격의 발전 역시 무시할 수 없는 중요한 요 인이라는 사실에는 변함이 없다. 지난 몇 년 동안 해커들은 규모가 큰 공격 대신 표적을 하나 정해 오랜 시간 정교한 계획을 세워 공격하기 시작했다. 한 번에 들어가 중요한 데이터를 재빨리 빼오기도 하지만 몰래 잠입한 시스템에 오랜 기간 머물며 꾸준히 필요한 활동을 해나간다. 예전 사이버 범죄가 ‘뻑치기’처럼 빠르게 치고 들어와 빠르게 필요한 것을 집고 나갔다면 지금은 아예 사람 하나를 정해놓고 며칠, 몇 달이고 스토킹을 하는 형태로 바뀌었다는 것.
이런 공격을 흔히 APT라고 한다. Advanced(고도의) Persistent(계속되는) Threat(위협)의 준말이다. 너무 은밀해 잡기는커녕 침투 사실을 알아채는 것도 힘들고, 이미 오랫동안 진행된 공격이라 깨끗이 없애는 것도 힘들다. 피해자 혹은 피해 기업이 복구하는 데에 걸리는 시간과 돈은 상상을 초월할 때가 많다. 아니, 심지어 복구라도 되면 다행인 경우도 있어 기업체들은 크기에 상관없이 자신들의 네트워크 상태에 대해서 늘 찜찜한 느낌을 가지고 있다.
지불시장에서 수년 간 몸담아온 제이슨 옥스맨(Jason Oxman)은 “위협과 공격의 방법이 갈수록 고도화된다”며 “해커들은 실력만으로 보면 매우 우수한 인재들일 뿐 아니라 심지어 어떤 나라에서는 뒤에서 몰래 후원도 아끼지 않기 때문에 상상한 모든 공격을 실행할 수 있을 정도인 것 같이 느껴진다”라고 불안감을 표현했다.
공포의 정체 4 : 모바일이 난리
모바일 역시 상인들에게는 불안감을 증폭시키는 물건이다. 핀테크가 뜨거운 감자로 떠오르면서 고객들이 더 많은 물건을 편리하게 살 수 있도록 쉬운 결제 서비스를 도입하긴 해야 하는데, 이 핀테크 솔루션들에서부터 취약점들이 벌써부터 등장하고 있기 때문이다. 사실 보안업계에서도 핀테크가 온라인 시장을 더욱 활성화시킬 거라는 전망과 오히려 위축시킬 거라는 전망이 팽팽하다. 핀테크가 더 안전하다는 측은 ‘아무래도 애플이나 구글처럼 이미 IT기술로는 정평이 나있는 거대 기업이 주도하는 경우가 많기 때문’이라고 주장한다.
그러나 쓰레트메트릭스(ThreatMetrix)라는 보안업체에서 실시한 설문에 의하면 25%의 온라인 사업자가 모바일이 가장 골치를 썩이는 요인이라고 보고 있다. 온라인 업자들을 괴롭히는 가장 큰 모바일 관련 위협은 가짜 계정 생성, 로그인 조작, 결제 사기라고 해당 설문은 발표한 바 있다.
공포의 정체 5 : 소비자는 경험을 중시
어쩌면 가장 큰 딜레마일 수도 있는데, 바로 소비자는 ‘사용자 경험’이라는 것을 너무나 중요하게 생각한다는 것이다. 한 마디로 편리하고 빠른 걸 좋아한다는 건데 이 때문에 아무리 사업자가 보안을 위한 장치를 마련한다고 해도 사용자가 잘 지키지 않거나 비활성화 시켜버리곤 한다. 모든 걸 무용지물로 만드는 것이다.
게다가 연말연시 시즌에 소비자들은 쇼핑도 많이 하고, 다소 흥분된 상태에 놓이게 된다. 즉 더욱 편리를 추구할 수밖에 없는 상태라는 것이고, 이를 제대로 하지 못했을 경우 온라인 사업자는 중요한 고객을 놓치게 되는 것이다. 대목에 이런 일이 발생하면 업체로서는 큰 손해가 아닐 수 없다. “막말로 보안을 철저히 한답시고 페이지마다 인증을 요구할 수는 없지 않습니까. 편리함과 안전함의 균형을 찾는다는 게 정말로 까다롭습니다.”
“온라인 사업을 한다는 것의 장점은 사업체와 소비자가 개인적인 관계를 맺을 수 있다는 겁니다. 그런 친밀함이 큰 장점으로 발휘되죠. 그런데 그 사이로 여러 위협들이 비집고 들어옵니다. 로그인 정보를 훔쳐 고객인척 하고 카드정보를 훔쳐 정상적인 결제를 하는 척 하죠. 혹은 기업인척 고객에게 악성메일을 보내기도 하고요. 이런 일이 벌어지는 게 바로 모바일 기기에서입니다. 수많은 고객 중 한 사람의 모바일만 해킹에 성공한다 해도 사업자의 시스템이 위험에 처합니다.”
공포의 정체 6 : 디도스 공격
대기업의 경우야 조금 걱정이 덜 하지만 규모가 작은 사업장의 경우 또 다른 걱정거리를 하나 덤으로 얻고 가야 한다. 바로 디도스 공격이다. 디도스 공격은 그 자체로도 사업하는 데에 큰 타격을 주지만, 해커들 중에는 디도스 공격으로 시선을 분산시키고 진짜 목적인 멀웨어를 심는다든가 네트워크에 침투하는 등 2차 공격의 씨앗을 심기도 한다.
보안 서비스 제공업체인 컨트롤스캔(ControlScan)의 부회장인 스티브 롭(Steve Robb)은 “요즘 일어나는 디도스 공격은 연막작전의 일부일 때가 많습니다. 서비스가 멈춘 것 자체에 기업이 패닉을 일으키고 복구를 하는 동안 해커는 유유히 다른 작업을 진행하죠. 이는 무슨 말이냐면, 디도스 공격이 전부인 줄 알았는데 여러 다른 보안 사고가 예고도 없이 터질 가능성이 더 높아진다는 뜻입니다”라고 설명한다.
이런 식의 공격을 주로 하는 대표적인 집단이 요즘 떠오르고 있는 DD4BC다. 아카마이(Akamai)는 DD4BC에 대해 “2014년부터 적어도 114번 이상의 디도스 공격을 감행했다”고 말한다. 이 114번은 아카마이가 관리하는 고객들 중에서만 나타난 숫자다. 이름 좀 난 보안업체 하나 당 100명의 고객이 DD4BC에 당했다고 단순계산을 해보면 엄청난 숫자가 나온다. 아카마이는 “114번 모두 디도스 공격 자체가 목적이 아니었다”며 “이를 통해 네트워크에 잠입해 중요한 정보를 빼돌린 후 그것을 빌미 삼아 협박을 하거나 금전을 요구하는 등의 추가 범행을 저질렀다”고 설명했다.
여태까지 DD4BC에게 당한 기업들은 대부분 금융과 관련된 조직들이었으나 온라인 쇼핑몰이나 서비스를 하는 업체가 안전하다고 말할 수도 없는 게 사실이다. 베리사인(Verisign)에 의하면 디도스 공격이 갈수록 늘어나는 건 디도스 공격 툴킷이 점점 대중화되고 있기 때문이라고 분석한다. “디도스 공격이 점점 ‘누구나 할 수 있는 쉬운’ 공격이 되어가고 있습니다. 누구도 안심해서는 안 되는 때입니다.”
공포의 정체 7 : 외주업체도 문제
온라인 쇼핑 사업자들에게 가장 큰 충격을 준 사건 중 하나인 타깃(Target) 사건은 외주업체 혹은 협력업체를 잘 관리하지 못했다는 것이 그 본질이다. 타깃 사무실의 난방 시스템을 관리하던 업체의 로그인 정보를 훔친 것에서부터 타깃에 보관되어 있던 1억 2천만 건의 카드정보가 유출된 것. 작년 홈데포(Home Depot)에서 발생한 해킹 사건도 이와 똑같았다. 그리고 이와 유사한 사건은 아직까지도 비일비재하게 일어나고 있다.
고객들의 비협조적인 태도와 개인의 자유가 잔뜩 반영된 모바일 기기에 이어 온라인 사업자들은 같이 일하는 협력사 및 외주업체에 대해서도 걱정을 해야 한다. 물론 계약을 할 때 보안에 대한 항목을 집어 넣고 일부 보안 실천항목들을 의무화시키는 게 정석이고 권장사항이지만 실제로 이를 실천하는 업체는 거의 없다. 관례상 하지 않는 게 일반적인 것이다. 건강치 못한 관례가 그저 ‘좋은 게 좋은 거지’하고 지켜지고 있을 때 가장 큰 덕을 보는 건 해커들이다.
방어 전략 1 : 온라인 사기 탐지 및 방지 시스템 갖추기
무카드 사기를 방지하려면 ‘수상한 거래’를 재빨리 탐지하고 막을 수 있어야 한다. 이미 시장에 이를 가능케 하는 툴들이 판매 되고 있는 중이다. 하루 거래 한도치를 지정한다거나 위험의 종류에 따라 점수를 매기는 방식을 만들어 ‘수상쩍은 거래’를 막는다거나, 기기를 인증한다거나, IP 및 위치추적이라는 기능을 사용하는 등 다양한 접근이 툴에 따라 가능하다. 현재까지는 ‘인증 방식의 강화’가 장기적으로 가장 효과적인 것으로 알려져 있다. 기기 인증, 행동 분석, 바이오인증 등이 여기에 녹아들고 있다.
방어 전략 2 : 사건 탐지 및 대응력 갖추기
네트워크의 가장 바깥을 막는 ‘외곽 경계’가 얼마나 무력한지 여러 차례 증명됨에도 불구하고 많은 기업들이 여전히 방화벽에 상당히 의존하고 있다. 조금 더 아는 업체들은 백신, 침입 탐지 시스템, VPN 등을 설치하기도 한다. 그런데 멀웨어가 발전하는 것만큼 방어 솔루션들도 발전하고 있다는 걸 기억해야 할 필요가 있다. 보안 이벤트 관리 솔루션, 로그 분석 툴, 데이터 손실 방지 기술, 취약점 평가, 침투 테스트 등 방어도 현대화되고 있는데, 업체들은 이를 ‘다른 세상 이야기’인 것처럼 흘려듣는 경향이 있다고 보안 전문가들은 말한다. “가끔은 정말로 방어할 마음이 있는 건지가 의심스러울 때가 많다”고 표현하는 이들도 있을 정도다.
“PCI 표준이라는 게 있어서 이제 미국 대부분의 업체들은 기본 방어 체계를 갖추게 되었습니다. 하지만 기본은 어디까지나 기본일 뿐이죠. 사실 정책이나 표준은 기술의 발전을 쫓아가지 못합니다. 현실에 충실하려면 정책과 표준을 기다리지 말고 오히려 앞서가야 합니다. 보안도 마찬가지입니다.” 기술 컨설팅 업체인 휴글렛 그룹(Huguelet Group)의 회장인 짐 휴글렛(Jim Huguelet)이 설명하는 그대로다.
결국 온라인을 위주로 하건 오프라인이 주력이건 업체들에게 진짜 필요한 건 언제고 해킹 당할 수 있는 자신들의 네트워크에 대한 보다 깊고 적극적인 관심이다. “예를 들어 타깃 사건이 2013년과 2014년을 얼마나 뜨겁게 달구었습니까? 그러나 대부분의 사람들이 그저 읽고 지나쳤지요. 그러니까 똑같은 일이 또 반복되었고요. 아무도 ‘이게 내 일이 될 수 있다’고 생각하지 않습니다. 보안 전략을 마련한다는 건 이전 사례를 내 일처럼 받아들이는 것부터 시작됩니다.”
방어 전략 2 : 네트워크의 세그멘테이션(segmentation)
이왕에 언급되었으니 타깃과 홈데포 사건을 다시 한 번 들여다보자. 기술적인 관점에서 사실 홈데포나 타깃의 네트워크로 해커가 침입할 수 있어서는 안 되는 게 맞았다. 외주업체에서 출발해 여러 포인트를 거슬러 올라가 목적지에 닿았다는 건 얼마든지 막을 수 있었다. 이게 가능한 건 전적으로 네트워크들이 죄다 연결되어 있기 때문이었다.
만약 이 두 기업이 네트워크를 잘 분리시켜 관리했다면 어땠을까? 다만 외주업체와의 네트워크가 아니라 고객의 개인정보가 저장되어 있는 네트워크와 카드정보나 기업의 운영상 필요한 데이터가 있는 네트워크를 따로 운영했다면 어땠을까? 결과처럼 어마어마하나 사고가 일어나지는 않았을 가능성이 훨씬 높다. 최소 카드정보만 따로 보관했어도 타깃 CEO가 사퇴하는 일까지는 없었을 것이 분명하다.
해커는 한 번만 성공하면 성공한 것이기 때문에 한 번만 실수해도 실패로 이어지는 보안 담당자들보다 훨씬 유리한 위치에 있다는 것도 관점에 따라 네트워크가 너무나 편리하게 연결되어 있기 때문이라고도 할 수 있다. 철저한 분리, 즉 세그멘테이션이 도입되면 이 불공정한 게임을 상당히 뒤집는 게 가능해진다. 다만 아직 세그멘테이션이 PCI 의무사항까지는 아니라서 ‘네트워크를 분리하세요’라고 하는 게 권장사항에 머물 수밖에 없다. 아직은 기업들의 자율에 맡겨야 하는 부분이다.
방어 전략 3 : 종단간 암호화 도입
PCI 표준에서는 신용카드 데이터를 처리하는 데에 있어 암호화를 반드시 사용할 것을 오래전부터 권고해왔다. 저장되어 있는 상태에서나 거래되고 있는 상태 모두에서 말이다. 그래서 등장한 것이 종단간 암호화(E2EE)와 점대점 암호화(point to point encryption, P2PE)다. 이 둘은 카드가 단말기에서 긁히는 순간부터 거래가 승인되기까지 사용되는 카드정보를 암호화한다. 다만 암호화키를 관리하는 방식에서 둘은 조금의 차이를 보인다.
“문제는 암호화를 제대로, 꼭 필요한 곳에 적용하지 못한다는 것에 있습니다.” 다이아딕 시큐리티(Dyadic Security)의 창립자인 예후다 린델(Yehuda Lindell) 박사의 설명이다. “가장 큰 실수는 암호화에만 초점을 맞춘 나머지 암호키를 잘 관리하지 못한다는 데에 있습니다. 범죄자가 키에 손을 뻗칠 수 있다면 사실 암호화를 하는 이유가 없어지는 건 너무나 당연하죠. 지금 암호화키 관리하는 행태들을 보면, 집 대문 잘 잠가 놓고 열쇠를 문 앞에 고이 놔두고 여행간 것과 비슷합니다. 내부 인원이든 바깥 인원이든 암호키에 접근이 가능한 사람은 한두 사람으로 제한해야 합니다.”
암호화 도입이 어려운 업체라면 토큰화를 생각해봄직 하다. 토큰화란 암호화와 비슷한 개념이긴 한데, 예를 들어 고객의 계좌번호와 같은 중요한 정보를 전혀 상관없는 무작위 문자 및 숫자열로 대체시키는 것이다. 즉 해커가 계좌번호를 뺏어간다고 해도 전혀 쓸모없는 숫자만 가져가는 결과만 나타난다. “암호화가 해커의 접근 자체를 방지한다면 토큰화는 해커들에게 쓰레기를 쥐어주는 것과 다름없습니다. 어느 방법이나 결국은 시간낭비를 유발한다는 공통점이 있긴 합니다.”
방어 전략 4 : 웹 애플리케이션 방화벽
앱 개발 붐이 일어나면서 취약한 앱들이 대거 등장했고, 그에 따라 아주 기본적인 취약점을 가진 앱들이 보안의 이슈가 되고 있다. 그래서 등장한 것이 웹 애플리케이션 방화벽, WAF다. 이 WAF는 쉽게 말해 웹 애플리케이션의 앞에 앉아서 공격을 미리 막아주는 방패 역할을 해주는 것으로 흔한 애플리케이션 취약점들을 통째로 보완해준다. 다만 이 역시 완전무결한 해결책은 되지 않는다. PCI는 현재 WAF의 사용을 의무로 지정하고 있는데, 이는 꽤나 유용하고 적절하다. 중소기업 입장에서는 WAF의 설치가 여러 면에서 부담될 수 있는데, 이를 보다 낮은 가격에 아웃소싱해주는 서비스들도 등장하고 있으니 알아보면 연말연시가 본격적으로 시작되기 전에 충분히 도입할 수 있을 것이다.
방어 전략 5 : 취약점 스캔과 침투 테스트
나의 약점은 항상 남들의 눈에 더 쉽게 띄는 법이다. 이를 적용한 게 바로 외부 인력을 고용해 모의 해킹이나 취약점 스캐닝을 시켜보는 것이다. 보통 외부 전문가가 하는 침투 테스트는 공격자가 ‘이런 저런 방식으로 들어오겠구나’를 가늠하는 데에 도움이 되고 내부적으로 진행하는 취약점 스캔은 ‘해커가 침투하면 우리 네트워크를 이런 식으로 바라보고 이렇게 활동하겠구나’하는 걸 가늠할 수 있다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
현대의 일반 기업이 염두에 둘 만한 온라인 방어법
[보안뉴스 문가용] 연말연시가 다가온다는 건 곧 쇼핑 시즌이 다가온다는 것. 온라인 쇼핑센터들이 벌써부터 부산스럽다. 특히 타깃(Target) 사건과 연이은 POS 단말기 해킹 사건으로 미국 쇼핑업체들은 신상품 선정과 입고, 광고, 홍보만큼 데이터 보안에도 각별한 신경을 쓰고 있다고 한다.
게다가 미국은 최근 자기띠 방식의 신용카드를 칩앤핀(Chip and Pin) 방식으로 전부 전환하기도 했다. 물론 실제 모든 가게의 단말기나 모든 사용자의 카드가 실제 새 것으로 교체되려면 시간이 더 걸리기는 하겠지만 말이다. 이 덕분에 향후 몇 년 간 매장에서의 신용카드 사기는 크게 줄어들 것으로 기대하고 있다.
하지만 그런 ‘기대치’에 보안업계가 축포를 터트릴 수는 없다. 왜냐하면 해커들이 매장 내 신용카드 사기가 어렵다고 풀이 죽어 전업을 할 리가 없기 때문이다. 한 군데 구멍이 틀어막히면 반드시 다른 곳을 뚫어내는 것이 해커들의 습성이고, 사실이다. 그리고 실제로 해커들은 칩앤핀의 도입에 맞서 온라인 상의 무카드 거래 사기라는 방법을 택했다. 이는 미국 이전에 EMV를 도입한 모든 나라들에서 공통으로 나타난 현상이라 미국이 카드 방식을 전면 교체한다고 했을 때 이미 예견된 바였다. “결국 신용카드 관련 범죄가 오프라인에서 온라인으로 옮겼을 뿐입니다.” 지불 관련 보안 표준인 PCI SSC의 국제부 책임자인 제레미 킹(Jeremy King)의 설명이다.
유럽은 이미 10년도 훨씬 전에 EMV 시스템을 도입한 바 있다. 그 결과 신용카드 위조를 통한 범죄는 확실히 줄어들었다고 킹은 설명을 이었다. “그러나 대신 온라인 사기 및 범죄 행위가 급증했죠. 무슨 범죄 질량의 법칙처럼 말이죠. EMV나 칩앤핀으로 바꾼다고 모든 카드 관련 범죄가 없어진다고 기대하면 안 됩니다. 매장 내 사기행위에 대한 방지책으로는 유용하지만 온라인 범죄에 대해서는 그 한계가 명확히 드러났거든요.” 즉 쇼핑물 주인으로서는 걱정이 줄었다고 볼 수 없다는 것이다.
그리고 실제로 인터넷 쇼핑몰을 운영하는 매장주들의 분위기는 그리 좋지는 않다. 전부 ‘혹시 내가 다음 타깃이 되는 건 아닐까? 홈데포 다음은 난가?’라는 불안감에 휩싸여 있기 때문. 현재 이런 암울한 기운을 뿜어대고 있는 공포의 정체가 정확히 무엇인지 먼저 정리해보자. 그런 후 어떤 전략이 현재 사용가능한지 알아보도록 하겠다.
공포의 정체 1 : 무카드 결제 사기
매장 내 사기가 급감하는 대신 온라인 사기가 급증할 거라는 예보가 나돌기 시작하면서 쇼핑물 주인들의 얼굴색이 급변했다. 여태까지 온라인 사기가 없었던 것도 아닌데 새삼스럽게 뭘 그러느냐, 라고 물을 수도 있는데, 사실 카드 관련 사기를 치는 범죄자들은 온라인 무카즈 결제 사기 수법을 그다지 선호하지 않았었다. 매장 내 결제 사기보다 훨씬 리스크가 컸기 때문이다.
온라인에서 결제를 하려면 보통 등록을 하고 로그인을 해야 하는데, 사이트에 따라 공식 신분증에 준하는 자료를 요구하기도 했으며 이메일 주소, 우편주소 등을 요구하기도 한다. 신분을 최대한 감추어야 하는 범죄자 입장에서 이는 난감한 절차다. 하지만 이제 범죄자들에게 이것 외에 다른 옵션은 거의 다 사라졌다고 봐도 무방하다. 선택지가 하나만 남았을 때 해커들이 얼마나 큰 창의력과 집중력을 발휘하는지 우리는 잘 알고 있다.
공포의 정체 2 : 사람이라 실수합니다
해킹의 위험에 대한 인식이 지난 몇 년간 수없이 바뀌어 왔는데 정작 공격 그 자체는 크게 변하지 않았다. 기술적인 측면에서 보자면 사실 해킹 공격은 거의 다 거기서 거기다. 밑이 없는 바다처럼 제로데이 취약점은 캐고 또 캐도 나오며 멀웨어 익스플로잇 킷은 화상 탐사 로켓보다도 첨단 과학의 결정체인 냥 언급된다. 해커들의 승전보는 어느 뉴스에서나 쉽게 찾아볼 수 있으며 보안은 그 뒤를 쫓기에만도 숨 가쁜 것처럼 보인다.
하지만 대부분의 사건을 캐다보면 결국 공격의 가장 직접적인 요인은 ‘멀웨어 기술의 발달’이 아니라 ‘늘 똑같은 사람의 실수’라는 결론에 다다른다. 패치를 안 해서, 환경설정을 똑바로 하지 않아서 늘 구멍을 찾아 헤매는 해커들에게 단초를 제공한다. 버라이즌이 2015년에 발표한 ‘데이터 유출사고 수사 보고서(Data Breach Investigation Report)’를 보면 멀웨어의 발전이 빠르게 이루어지는 건 분명하지만 성공적인 공격의 70%가 이미 널리 알려진 오래된 방법들을 통해서 이루어진다고 나온다. 알아도 뚫리는 세상에, 모르면 모를수록 뚫릴 수밖에 없는데, 사람이 어찌 모든 걸 다 알 수 있을까.
공포의 정체 3 : 그 유명한 APT 공격
그렇다고 사람에만 집중할 수도 없다. 사이버 공격의 발전 역시 무시할 수 없는 중요한 요 인이라는 사실에는 변함이 없다. 지난 몇 년 동안 해커들은 규모가 큰 공격 대신 표적을 하나 정해 오랜 시간 정교한 계획을 세워 공격하기 시작했다. 한 번에 들어가 중요한 데이터를 재빨리 빼오기도 하지만 몰래 잠입한 시스템에 오랜 기간 머물며 꾸준히 필요한 활동을 해나간다. 예전 사이버 범죄가 ‘뻑치기’처럼 빠르게 치고 들어와 빠르게 필요한 것을 집고 나갔다면 지금은 아예 사람 하나를 정해놓고 며칠, 몇 달이고 스토킹을 하는 형태로 바뀌었다는 것.
이런 공격을 흔히 APT라고 한다. Advanced(고도의) Persistent(계속되는) Threat(위협)의 준말이다. 너무 은밀해 잡기는커녕 침투 사실을 알아채는 것도 힘들고, 이미 오랫동안 진행된 공격이라 깨끗이 없애는 것도 힘들다. 피해자 혹은 피해 기업이 복구하는 데에 걸리는 시간과 돈은 상상을 초월할 때가 많다. 아니, 심지어 복구라도 되면 다행인 경우도 있어 기업체들은 크기에 상관없이 자신들의 네트워크 상태에 대해서 늘 찜찜한 느낌을 가지고 있다.
지불시장에서 수년 간 몸담아온 제이슨 옥스맨(Jason Oxman)은 “위협과 공격의 방법이 갈수록 고도화된다”며 “해커들은 실력만으로 보면 매우 우수한 인재들일 뿐 아니라 심지어 어떤 나라에서는 뒤에서 몰래 후원도 아끼지 않기 때문에 상상한 모든 공격을 실행할 수 있을 정도인 것 같이 느껴진다”라고 불안감을 표현했다.
공포의 정체 4 : 모바일이 난리
모바일 역시 상인들에게는 불안감을 증폭시키는 물건이다. 핀테크가 뜨거운 감자로 떠오르면서 고객들이 더 많은 물건을 편리하게 살 수 있도록 쉬운 결제 서비스를 도입하긴 해야 하는데, 이 핀테크 솔루션들에서부터 취약점들이 벌써부터 등장하고 있기 때문이다. 사실 보안업계에서도 핀테크가 온라인 시장을 더욱 활성화시킬 거라는 전망과 오히려 위축시킬 거라는 전망이 팽팽하다. 핀테크가 더 안전하다는 측은 ‘아무래도 애플이나 구글처럼 이미 IT기술로는 정평이 나있는 거대 기업이 주도하는 경우가 많기 때문’이라고 주장한다.
그러나 쓰레트메트릭스(ThreatMetrix)라는 보안업체에서 실시한 설문에 의하면 25%의 온라인 사업자가 모바일이 가장 골치를 썩이는 요인이라고 보고 있다. 온라인 업자들을 괴롭히는 가장 큰 모바일 관련 위협은 가짜 계정 생성, 로그인 조작, 결제 사기라고 해당 설문은 발표한 바 있다.
공포의 정체 5 : 소비자는 경험을 중시
어쩌면 가장 큰 딜레마일 수도 있는데, 바로 소비자는 ‘사용자 경험’이라는 것을 너무나 중요하게 생각한다는 것이다. 한 마디로 편리하고 빠른 걸 좋아한다는 건데 이 때문에 아무리 사업자가 보안을 위한 장치를 마련한다고 해도 사용자가 잘 지키지 않거나 비활성화 시켜버리곤 한다. 모든 걸 무용지물로 만드는 것이다.
게다가 연말연시 시즌에 소비자들은 쇼핑도 많이 하고, 다소 흥분된 상태에 놓이게 된다. 즉 더욱 편리를 추구할 수밖에 없는 상태라는 것이고, 이를 제대로 하지 못했을 경우 온라인 사업자는 중요한 고객을 놓치게 되는 것이다. 대목에 이런 일이 발생하면 업체로서는 큰 손해가 아닐 수 없다. “막말로 보안을 철저히 한답시고 페이지마다 인증을 요구할 수는 없지 않습니까. 편리함과 안전함의 균형을 찾는다는 게 정말로 까다롭습니다.”
“온라인 사업을 한다는 것의 장점은 사업체와 소비자가 개인적인 관계를 맺을 수 있다는 겁니다. 그런 친밀함이 큰 장점으로 발휘되죠. 그런데 그 사이로 여러 위협들이 비집고 들어옵니다. 로그인 정보를 훔쳐 고객인척 하고 카드정보를 훔쳐 정상적인 결제를 하는 척 하죠. 혹은 기업인척 고객에게 악성메일을 보내기도 하고요. 이런 일이 벌어지는 게 바로 모바일 기기에서입니다. 수많은 고객 중 한 사람의 모바일만 해킹에 성공한다 해도 사업자의 시스템이 위험에 처합니다.”
공포의 정체 6 : 디도스 공격
대기업의 경우야 조금 걱정이 덜 하지만 규모가 작은 사업장의 경우 또 다른 걱정거리를 하나 덤으로 얻고 가야 한다. 바로 디도스 공격이다. 디도스 공격은 그 자체로도 사업하는 데에 큰 타격을 주지만, 해커들 중에는 디도스 공격으로 시선을 분산시키고 진짜 목적인 멀웨어를 심는다든가 네트워크에 침투하는 등 2차 공격의 씨앗을 심기도 한다.
보안 서비스 제공업체인 컨트롤스캔(ControlScan)의 부회장인 스티브 롭(Steve Robb)은 “요즘 일어나는 디도스 공격은 연막작전의 일부일 때가 많습니다. 서비스가 멈춘 것 자체에 기업이 패닉을 일으키고 복구를 하는 동안 해커는 유유히 다른 작업을 진행하죠. 이는 무슨 말이냐면, 디도스 공격이 전부인 줄 알았는데 여러 다른 보안 사고가 예고도 없이 터질 가능성이 더 높아진다는 뜻입니다”라고 설명한다.
이런 식의 공격을 주로 하는 대표적인 집단이 요즘 떠오르고 있는 DD4BC다. 아카마이(Akamai)는 DD4BC에 대해 “2014년부터 적어도 114번 이상의 디도스 공격을 감행했다”고 말한다. 이 114번은 아카마이가 관리하는 고객들 중에서만 나타난 숫자다. 이름 좀 난 보안업체 하나 당 100명의 고객이 DD4BC에 당했다고 단순계산을 해보면 엄청난 숫자가 나온다. 아카마이는 “114번 모두 디도스 공격 자체가 목적이 아니었다”며 “이를 통해 네트워크에 잠입해 중요한 정보를 빼돌린 후 그것을 빌미 삼아 협박을 하거나 금전을 요구하는 등의 추가 범행을 저질렀다”고 설명했다.
여태까지 DD4BC에게 당한 기업들은 대부분 금융과 관련된 조직들이었으나 온라인 쇼핑몰이나 서비스를 하는 업체가 안전하다고 말할 수도 없는 게 사실이다. 베리사인(Verisign)에 의하면 디도스 공격이 갈수록 늘어나는 건 디도스 공격 툴킷이 점점 대중화되고 있기 때문이라고 분석한다. “디도스 공격이 점점 ‘누구나 할 수 있는 쉬운’ 공격이 되어가고 있습니다. 누구도 안심해서는 안 되는 때입니다.”
공포의 정체 7 : 외주업체도 문제
온라인 쇼핑 사업자들에게 가장 큰 충격을 준 사건 중 하나인 타깃(Target) 사건은 외주업체 혹은 협력업체를 잘 관리하지 못했다는 것이 그 본질이다. 타깃 사무실의 난방 시스템을 관리하던 업체의 로그인 정보를 훔친 것에서부터 타깃에 보관되어 있던 1억 2천만 건의 카드정보가 유출된 것. 작년 홈데포(Home Depot)에서 발생한 해킹 사건도 이와 똑같았다. 그리고 이와 유사한 사건은 아직까지도 비일비재하게 일어나고 있다.
고객들의 비협조적인 태도와 개인의 자유가 잔뜩 반영된 모바일 기기에 이어 온라인 사업자들은 같이 일하는 협력사 및 외주업체에 대해서도 걱정을 해야 한다. 물론 계약을 할 때 보안에 대한 항목을 집어 넣고 일부 보안 실천항목들을 의무화시키는 게 정석이고 권장사항이지만 실제로 이를 실천하는 업체는 거의 없다. 관례상 하지 않는 게 일반적인 것이다. 건강치 못한 관례가 그저 ‘좋은 게 좋은 거지’하고 지켜지고 있을 때 가장 큰 덕을 보는 건 해커들이다.
방어 전략 1 : 온라인 사기 탐지 및 방지 시스템 갖추기
무카드 사기를 방지하려면 ‘수상한 거래’를 재빨리 탐지하고 막을 수 있어야 한다. 이미 시장에 이를 가능케 하는 툴들이 판매 되고 있는 중이다. 하루 거래 한도치를 지정한다거나 위험의 종류에 따라 점수를 매기는 방식을 만들어 ‘수상쩍은 거래’를 막는다거나, 기기를 인증한다거나, IP 및 위치추적이라는 기능을 사용하는 등 다양한 접근이 툴에 따라 가능하다. 현재까지는 ‘인증 방식의 강화’가 장기적으로 가장 효과적인 것으로 알려져 있다. 기기 인증, 행동 분석, 바이오인증 등이 여기에 녹아들고 있다.
방어 전략 2 : 사건 탐지 및 대응력 갖추기
네트워크의 가장 바깥을 막는 ‘외곽 경계’가 얼마나 무력한지 여러 차례 증명됨에도 불구하고 많은 기업들이 여전히 방화벽에 상당히 의존하고 있다. 조금 더 아는 업체들은 백신, 침입 탐지 시스템, VPN 등을 설치하기도 한다. 그런데 멀웨어가 발전하는 것만큼 방어 솔루션들도 발전하고 있다는 걸 기억해야 할 필요가 있다. 보안 이벤트 관리 솔루션, 로그 분석 툴, 데이터 손실 방지 기술, 취약점 평가, 침투 테스트 등 방어도 현대화되고 있는데, 업체들은 이를 ‘다른 세상 이야기’인 것처럼 흘려듣는 경향이 있다고 보안 전문가들은 말한다. “가끔은 정말로 방어할 마음이 있는 건지가 의심스러울 때가 많다”고 표현하는 이들도 있을 정도다.
“PCI 표준이라는 게 있어서 이제 미국 대부분의 업체들은 기본 방어 체계를 갖추게 되었습니다. 하지만 기본은 어디까지나 기본일 뿐이죠. 사실 정책이나 표준은 기술의 발전을 쫓아가지 못합니다. 현실에 충실하려면 정책과 표준을 기다리지 말고 오히려 앞서가야 합니다. 보안도 마찬가지입니다.” 기술 컨설팅 업체인 휴글렛 그룹(Huguelet Group)의 회장인 짐 휴글렛(Jim Huguelet)이 설명하는 그대로다.
결국 온라인을 위주로 하건 오프라인이 주력이건 업체들에게 진짜 필요한 건 언제고 해킹 당할 수 있는 자신들의 네트워크에 대한 보다 깊고 적극적인 관심이다. “예를 들어 타깃 사건이 2013년과 2014년을 얼마나 뜨겁게 달구었습니까? 그러나 대부분의 사람들이 그저 읽고 지나쳤지요. 그러니까 똑같은 일이 또 반복되었고요. 아무도 ‘이게 내 일이 될 수 있다’고 생각하지 않습니다. 보안 전략을 마련한다는 건 이전 사례를 내 일처럼 받아들이는 것부터 시작됩니다.”
방어 전략 2 : 네트워크의 세그멘테이션(segmentation)
이왕에 언급되었으니 타깃과 홈데포 사건을 다시 한 번 들여다보자. 기술적인 관점에서 사실 홈데포나 타깃의 네트워크로 해커가 침입할 수 있어서는 안 되는 게 맞았다. 외주업체에서 출발해 여러 포인트를 거슬러 올라가 목적지에 닿았다는 건 얼마든지 막을 수 있었다. 이게 가능한 건 전적으로 네트워크들이 죄다 연결되어 있기 때문이었다.
만약 이 두 기업이 네트워크를 잘 분리시켜 관리했다면 어땠을까? 다만 외주업체와의 네트워크가 아니라 고객의 개인정보가 저장되어 있는 네트워크와 카드정보나 기업의 운영상 필요한 데이터가 있는 네트워크를 따로 운영했다면 어땠을까? 결과처럼 어마어마하나 사고가 일어나지는 않았을 가능성이 훨씬 높다. 최소 카드정보만 따로 보관했어도 타깃 CEO가 사퇴하는 일까지는 없었을 것이 분명하다.
해커는 한 번만 성공하면 성공한 것이기 때문에 한 번만 실수해도 실패로 이어지는 보안 담당자들보다 훨씬 유리한 위치에 있다는 것도 관점에 따라 네트워크가 너무나 편리하게 연결되어 있기 때문이라고도 할 수 있다. 철저한 분리, 즉 세그멘테이션이 도입되면 이 불공정한 게임을 상당히 뒤집는 게 가능해진다. 다만 아직 세그멘테이션이 PCI 의무사항까지는 아니라서 ‘네트워크를 분리하세요’라고 하는 게 권장사항에 머물 수밖에 없다. 아직은 기업들의 자율에 맡겨야 하는 부분이다.
방어 전략 3 : 종단간 암호화 도입
PCI 표준에서는 신용카드 데이터를 처리하는 데에 있어 암호화를 반드시 사용할 것을 오래전부터 권고해왔다. 저장되어 있는 상태에서나 거래되고 있는 상태 모두에서 말이다. 그래서 등장한 것이 종단간 암호화(E2EE)와 점대점 암호화(point to point encryption, P2PE)다. 이 둘은 카드가 단말기에서 긁히는 순간부터 거래가 승인되기까지 사용되는 카드정보를 암호화한다. 다만 암호화키를 관리하는 방식에서 둘은 조금의 차이를 보인다.
“문제는 암호화를 제대로, 꼭 필요한 곳에 적용하지 못한다는 것에 있습니다.” 다이아딕 시큐리티(Dyadic Security)의 창립자인 예후다 린델(Yehuda Lindell) 박사의 설명이다. “가장 큰 실수는 암호화에만 초점을 맞춘 나머지 암호키를 잘 관리하지 못한다는 데에 있습니다. 범죄자가 키에 손을 뻗칠 수 있다면 사실 암호화를 하는 이유가 없어지는 건 너무나 당연하죠. 지금 암호화키 관리하는 행태들을 보면, 집 대문 잘 잠가 놓고 열쇠를 문 앞에 고이 놔두고 여행간 것과 비슷합니다. 내부 인원이든 바깥 인원이든 암호키에 접근이 가능한 사람은 한두 사람으로 제한해야 합니다.”
암호화 도입이 어려운 업체라면 토큰화를 생각해봄직 하다. 토큰화란 암호화와 비슷한 개념이긴 한데, 예를 들어 고객의 계좌번호와 같은 중요한 정보를 전혀 상관없는 무작위 문자 및 숫자열로 대체시키는 것이다. 즉 해커가 계좌번호를 뺏어간다고 해도 전혀 쓸모없는 숫자만 가져가는 결과만 나타난다. “암호화가 해커의 접근 자체를 방지한다면 토큰화는 해커들에게 쓰레기를 쥐어주는 것과 다름없습니다. 어느 방법이나 결국은 시간낭비를 유발한다는 공통점이 있긴 합니다.”
방어 전략 4 : 웹 애플리케이션 방화벽
앱 개발 붐이 일어나면서 취약한 앱들이 대거 등장했고, 그에 따라 아주 기본적인 취약점을 가진 앱들이 보안의 이슈가 되고 있다. 그래서 등장한 것이 웹 애플리케이션 방화벽, WAF다. 이 WAF는 쉽게 말해 웹 애플리케이션의 앞에 앉아서 공격을 미리 막아주는 방패 역할을 해주는 것으로 흔한 애플리케이션 취약점들을 통째로 보완해준다. 다만 이 역시 완전무결한 해결책은 되지 않는다. PCI는 현재 WAF의 사용을 의무로 지정하고 있는데, 이는 꽤나 유용하고 적절하다. 중소기업 입장에서는 WAF의 설치가 여러 면에서 부담될 수 있는데, 이를 보다 낮은 가격에 아웃소싱해주는 서비스들도 등장하고 있으니 알아보면 연말연시가 본격적으로 시작되기 전에 충분히 도입할 수 있을 것이다.
방어 전략 5 : 취약점 스캔과 침투 테스트
나의 약점은 항상 남들의 눈에 더 쉽게 띄는 법이다. 이를 적용한 게 바로 외부 인력을 고용해 모의 해킹이나 취약점 스캐닝을 시켜보는 것이다. 보통 외부 전문가가 하는 침투 테스트는 공격자가 ‘이런 저런 방식으로 들어오겠구나’를 가늠하는 데에 도움이 되고 내부적으로 진행하는 취약점 스캔은 ‘해커가 침투하면 우리 네트워크를 이런 식으로 바라보고 이렇게 활동하겠구나’하는 걸 가늠할 수 있다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
