2020년 11월 국제 해커 조직이 이랜드를 공격해 탈취한 정보를 공개하겠다고 협박하며 4000만달러(한화 약 500억원)를 요구하는 사건이 발생했다. 해커 조직이 기업의 데이터베이스를 공격해 확보한 개인 정보를 ‘다크웹’을 통해 밀거래를 하는 경우는 종종 있었지만, 기업에 직접적으로 금전을 요구한 적은 거의 없었다.
이러한 해킹 공격을 ‘랜섬웨어’라고 부른다. 랜섬웨어는 몸값(ransom)과 악성코드(Malware)의 합성어로, 해킹 공격 후 몸값을 요구하는 것을 말한다. 랜섬웨어 공격은 일반적으로 컴퓨터 내 데이터를 암호화해 못 쓰게 만든 후 원상 복구 대가로 금전을 요구하는 방식으로 이뤄진다. 하지만 이랜드를 공격한 해커 조직은 탈취한 정보를 인질로 삼아 금전을 요구했다.
이랜드는 해커 조직과 협상을 단번에 거절했다. 해커 조직이 몸값을 요구한 직후, 최종양 이랜드그룹 부회장은 사내 이메일을 통해 “랜섬웨어 유포자는 지난 엿새 동안 끊임없이 회사를 협박하고, 막대한 금전을 요구하고 있다”면서 “그룹은 랜섬웨어 유포자가 다양한 방법으로 협박하는 것에 굴복하지 않고 있으며, 정당한 방법으로 대응하는 것을 대원칙으로 삼고 내부 인트라넷 및 데이터 복구에 최선을 다하고 있다”고 말했다.
최 부회장은 “돈을 주고 해결한다면 그들은 더 많은 기업이나 개인을 위협하게 될 것이 자명하다”며 “우리 회사 역시 또다시 다른 사이버 테러의 타깃이 될 수 있다”고 덧붙였다.
사측과의 협상이 불발하자 해커 조직은 2020년 12월 3일 다크웹에 자신들이 탈취했다고 주장하는 고객 카드 정보 10만건을 공개했다. 이후 총 10차례에 걸쳐 총 100만건의 카드 정보를 공개했다.
이랜드는 해커 조직의 공격이 있었던 것은 사실이지만 탈취된 정보가 자신들이 관리하던 정보라는 점은 인정하지 않았다. 이랜드 관계자는 “해커 조직이 공개한 자료는 대부분 다크웹에서 돌아다녔던 개인정보임이 확인됐다”면서 “신규 정보도 일부 있었지만 출처는 확인되지 않았다”고 말했다.
◇ 방대한 정보, 취약한 보안… 샤넬 이어 풀무원, 스타일쉐어도 해킹 공격 받아
유통가를 겨냥한 해커 조직의 공격은 현재 진행형이다. 작년 4월엔 온라인 패션 플랫폼 ‘스타일쉐어’가 해킹 공격을 받아 회원 620만 명의 이름과 생일, 배송지 주소 등의 정보가 유출됐다.
한달 뒤엔 인테리어 플랫폼 ‘집꾸미기’가 공격을 받아 회원들의 이름과 아이디, 이메일, 전화번호 등이 유출된 것으로 알려졌다.
이달 초에는 샤넬코리아가 고객의 개인정보를 보관하는 데이터베이스가 해킹 공격을 받아 이름과 전화번호, 생일, 화장품 구매 내역 등의 정보가 유출됐다. 멤버십 가입시 성별과 주소, 이메일을 함께 기재했다면 유출됐을 가능성이 큰 것으로 전해졌다.
식품 제조업체 풀무원 미국법인도 최근 글로벌 랜섬웨어 해커조직인 ‘록빗 2.0′의 공격을 받은 것으로 알려졌다. 이들은 풀무원이 협상에 응하지 않을 경우 내부 데이터를 다크웹에 유출하겠다고 협박한 상태다. 록빗 2.0은 협상시한을 지난 21일로 못 박았다.
이같은 해킹 공격 피해는 집단소송으로 번지기도 한다. 지난 2008년 옥션 고객 개인정보 1863만건이 중국 해커로부터 유출되자 14만명에 달하는 피해자들이 옥션을 상대로 집단소송에 나선 바 있다. 원고 패소판결이 났지만 만약 옥션이 소송에서 졌다면 1500억 원이 넘는 돈을 손해배상 해야 하는 아찔한 상황이었다.
해커 조직이 잇달아 유통회사들을 공격하는 것은 가치가 큰 개인 정보를 비교적 쉽게 탈취할 수 있기 때문이다. 보안에 취약한 장비 등을 경유하는 우회로가 많은데다, 서버 보안도 금융사에 비해 취약하다.
최근엔 유통사마다 간편 결제 서비스를 도입하고 있는 만큼, 추후엔 개인 정보 뿐만 아니라 결제 정보가 탈취될 가능성도 있다.
유통사들이 브랜드 가치와 고객 평판을 중시하는 점도 해커들의 타깃이 되는 이유 중 하나다. 개인정보가 탈취됐다는 사실이 알려지면 브랜드 가치가 하락하고, 이는 고객들의 이탈을 부추기는 원인이 된다.
◇ 해커, 보안 취약한 POS 기기 노려...유통가 보안시스템 강화해야
대부분의 해킹 공격은 보안 취약점을 뚫고 들어가 악성코드를 심는 방식으로 이뤄진다. 금전출납기(POS)는 특히 보안에 취약해 해커들의 공격 대상이 된다.
해커들은 유통 매장의 POS 단말기를 원격 관리하는 단말기 관리업체 서버를 해킹한 후, 이 관리 서버를 통해 다시 관리하는 POS 단말기에 ‘멀웨어’(Malware)라고 부르는 악성코드를 설치한다. 해킹 프로그램에 감염된 POS 장비는 고객이 카드로 결제를 할 때마다 카드 정보를 탈취한다.
이랜드에 대한 해킹 공격도 일선 매장의 POS 장비를 경유한 것으로 알려졌다. 이랜드는 당시 악성코드 공격이 진행되고 있다는 것을 확인하고, 서버를 차단해 감염 확산을 막았다. 이로 인해 이랜드는 11월 22일 오전 뉴코아와 엔씨백화점(NC) 등 23개 매장의 영업을 중단하고 수습에 나섰다.
김영기 금융보안원장은 “각 매장에 설치된 POS 단말기는 대부분 보안에 취약한 상태”라면서 “PC나 서버 프로그램은 방화벽과 백신 프로그램 등으로 악성코드 감염 등을 사전에 차단할 수 있지만, POS 단말기는 이러한 보안 프로그램 도입이 쉽지 않다”고 말했다.
그는 “심지어 어떤 해커 조직들은 카드 정보를 일정 수준 획득한 기기에선 악성코드를 자체적으로 지워 해당 기기가 공격을 당했는지도 모르게 해버린다”면서 “POS 단말기 보안 인증을 만들어 단말기 제조사가 이를 준수하도록 하는 제도를 만들 필요가 있다”고 했다.
다만 카드 결제 방식이 마그네틱(카드 뒷편의 카드 정보를 기록한 자성 라인)에서 반도체 기반 직접회로(IC)로 바뀌면서 정보 탈취 위험이 줄었다는 점은 긍정적으로 평가된다.
김 원장은 “가맹점 IC 단말기 해킹 가능성을 검증해 본 결과, 현재로서는 IC 승인 단말기는 기술적으로 해킹이 어려운 것으로 보인다”고 말했다. 그러면서도 “보안 기술 발전에 따라 해킹 기술도 발전하는 만큼 영원히 안전성을 담보하긴 어렵다”고 덧붙였다.
전문가들은 유통회사들이 보안 시스템 강화를 위한 투자를 늘려야 한다고 강조한다. ‘소 잃고 외양간 고치기’ 식의 대응보다 선제적 예방이 중요하다는 것이다.
이랜드그룹은 이번 해킹 공격 이후 사내 보안 시스템을 강화했다. 이전에 나눠져 있던 서버와 클라우드 시스템, 애플리케이션, 정보 관리팀을 하나로 모아 ‘인프라테크’ 부서를 신설했다. 인력도 이전 대비 40%가량 늘렸다.
이지현 이스트시큐리티 팀장은 “최근 해커들이 기존에 잘 알려진 랜섬웨어의 소스 코드나 공격 방식을 활용해 공격 효율성을 높이고 있다”며 “유통 기업을 대상으로 하는 대규모 공격들도 과감하게 이뤄지고 있어 주기적인 백업과 안전한 보안 시스템 구축을 통해 사전에 대비할 필요가 있다”고 조언했다.