항공 예약·발권 시스템의 보안, 수준 미달
이름과 예약 코드만으로 모든 정보에 접근 가능
[보안뉴스 홍나경 기자] 이제 비행기 티켓도 해커들의 먹잇감이 되고 있다. 항공사들이 승객들의 항공권 예약·발권 현황을 낙후된 보안 시스템을 통해 관리하고 있기 때문이다. 이로 인해 해커들이 승객들의 항공 예약 스케줄을 마음대로 주무르고 자신들의 이익을 위해 악용하고 있다.
베를린에 위치한 보안 리서치 연구실에서 근무 중인 카르스텐 놀(Karsten Nohl)과 네만자 니코이제빅(Nemanja Nikodijevvic)은 여행사, 항공사, 호텔, 렌트카 기업들이 사용 중인 전역 분배 시스템(GDS: Global Distribution System)의 취약점을 수개월 동안 연구했다. 그리고 이 결과를 지난 달 27일 독일의 해킹 커뮤니티인 카오스 컴퓨터 클럽(Chaos Computer Club)에서 주최한 해킹 콘퍼런스 카오스 통신회의(Chaos Communication Congress)에서 발표했다.
전 세계 주요 좌석 예약 및 발권 업체인 세이버(Sabre), 트래블포트(Travelport), 아마데우스(Amadeus)는 예전 메인프레임 기반의 전역 분배 시스템을 사용하고 있다. 이곳에 수억 명의 여객 예약 기록을 함께 보관하고 있으며, 다양한 항공사, 여행사 및 서드파티 항공권 예매 사이트인 익스피디아(Expedia), 체크마이트립(CheckMyTrip) 등으로의 접근도 용이하다.
따라서 모든 항공 예약 관련 정보 수정 및 추가사항 입력이 전역 분배 시스템의 데이터베이스에서 진행되는데, 여기서 발생하는 문제점은 데이터에비스에 접근하는 데 필요한 패스워드가 승객의 성과 예약코드 6자리에 불과하다는 것이다. 이 두 가지만 알면 모든 정보를 열람할 수 있고 수정이 가능하다.
또한, 항공 예약 코드 6자리를 입력하는 과정에서 많은 항공사 사이트들이 예약 코드를 잘못 입력하는 횟수에 대한 한도를 설정해 놓지 않아 해커들이 무작위 대입(브루트 포스) 공격을 감행하는 데 유리하다. 이미 대중화 되어 있는 성(Last name)들의 예약 코드는 해당 공격을 통해 몇 분 안에 알아낼 수 있다고 한다.
더욱이 전역 분배 시스템은 숫자 1과 0, 그리고 알파벳 I와 O로 인한 시스템 혼란을 막기 위해 알파벳 대문자만을 코드로 사용하는데 이 또한 해커들에게 유용하게 쓰인다. 따라서 해커들은 해당 취약점을 악용할 경우 다른 승객들의 장거리 비행 티켓에 자신들의 마일리지 회원번호를 추가해 포인트를 가로챌 수 있다. 이는 실제 악용되고 있는 것으로 알려졌다.
이외에도 해커들은 만약 취소가 가능한 티켓이면 이를 취소한 후, 티켓 금액을 자신들이 원하는 항공권을 예매하기 위한 포인트로 사용할 수도 있다.
이러한 취약점의 예방법으로는 현존하는 데이터베이스 접속 방식, 즉 이름과 예약 코드만으로 데이터베이스에 접근이 가능한 방식을 더욱 복잡하게 변경하는 것이다. 하지만 이를 위해서는 수많은 여행사, 항공사 및 항공권 예약 사이트들에 대한 대대적인 수정이 필요하기 때문에 빠른 시일 내에 취약점이 해결되기는 쉽지 않다는 지적이다.
[국제부 홍나경 기자(hnk726@boannews.com)]
이름과 예약 코드만으로 모든 정보에 접근 가능
[보안뉴스 홍나경 기자] 이제 비행기 티켓도 해커들의 먹잇감이 되고 있다. 항공사들이 승객들의 항공권 예약·발권 현황을 낙후된 보안 시스템을 통해 관리하고 있기 때문이다. 이로 인해 해커들이 승객들의 항공 예약 스케줄을 마음대로 주무르고 자신들의 이익을 위해 악용하고 있다.
베를린에 위치한 보안 리서치 연구실에서 근무 중인 카르스텐 놀(Karsten Nohl)과 네만자 니코이제빅(Nemanja Nikodijevvic)은 여행사, 항공사, 호텔, 렌트카 기업들이 사용 중인 전역 분배 시스템(GDS: Global Distribution System)의 취약점을 수개월 동안 연구했다. 그리고 이 결과를 지난 달 27일 독일의 해킹 커뮤니티인 카오스 컴퓨터 클럽(Chaos Computer Club)에서 주최한 해킹 콘퍼런스 카오스 통신회의(Chaos Communication Congress)에서 발표했다.
전 세계 주요 좌석 예약 및 발권 업체인 세이버(Sabre), 트래블포트(Travelport), 아마데우스(Amadeus)는 예전 메인프레임 기반의 전역 분배 시스템을 사용하고 있다. 이곳에 수억 명의 여객 예약 기록을 함께 보관하고 있으며, 다양한 항공사, 여행사 및 서드파티 항공권 예매 사이트인 익스피디아(Expedia), 체크마이트립(CheckMyTrip) 등으로의 접근도 용이하다.
따라서 모든 항공 예약 관련 정보 수정 및 추가사항 입력이 전역 분배 시스템의 데이터베이스에서 진행되는데, 여기서 발생하는 문제점은 데이터에비스에 접근하는 데 필요한 패스워드가 승객의 성과 예약코드 6자리에 불과하다는 것이다. 이 두 가지만 알면 모든 정보를 열람할 수 있고 수정이 가능하다.
또한, 항공 예약 코드 6자리를 입력하는 과정에서 많은 항공사 사이트들이 예약 코드를 잘못 입력하는 횟수에 대한 한도를 설정해 놓지 않아 해커들이 무작위 대입(브루트 포스) 공격을 감행하는 데 유리하다. 이미 대중화 되어 있는 성(Last name)들의 예약 코드는 해당 공격을 통해 몇 분 안에 알아낼 수 있다고 한다.
더욱이 전역 분배 시스템은 숫자 1과 0, 그리고 알파벳 I와 O로 인한 시스템 혼란을 막기 위해 알파벳 대문자만을 코드로 사용하는데 이 또한 해커들에게 유용하게 쓰인다. 따라서 해커들은 해당 취약점을 악용할 경우 다른 승객들의 장거리 비행 티켓에 자신들의 마일리지 회원번호를 추가해 포인트를 가로챌 수 있다. 이는 실제 악용되고 있는 것으로 알려졌다.
이외에도 해커들은 만약 취소가 가능한 티켓이면 이를 취소한 후, 티켓 금액을 자신들이 원하는 항공권을 예매하기 위한 포인트로 사용할 수도 있다.
이러한 취약점의 예방법으로는 현존하는 데이터베이스 접속 방식, 즉 이름과 예약 코드만으로 데이터베이스에 접근이 가능한 방식을 더욱 복잡하게 변경하는 것이다. 하지만 이를 위해서는 수많은 여행사, 항공사 및 항공권 예약 사이트들에 대한 대대적인 수정이 필요하기 때문에 빠른 시일 내에 취약점이 해결되기는 쉽지 않다는 지적이다.
[국제부 홍나경 기자(hnk726@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
