Home > 전체기사
미국 통신사, “삼성 때문에 데이터 유출” 핑계 댔다가 뭇매
  |  입력 : 2019-07-18 09:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스프린트, 6월에 겪은 침해 사고의 이유로 삼성의 웹사이트 꼽아
게다가 “새나간 정보로 사기 공격 할 수 없다”고까지 말해 비판 쏟아져


[보안뉴스 문가용 기자] 미국의 이동 통신 회사인 스프린트(Sprint)가 지난 6월 22일 데이터 침해가 발생했다는 걸 발견하고, 그 사실을 고객들에게 알렸다. 그런데 그 내용 중에 삼성 웹사이트와 관련된 것이 있었다. 삼성 웹사이트를 통해 자신들의 고객 크리덴셜이 침해됐다는 것이다.

[이미지 = iclickart]


스프린터에 의하면 유출된 정보는 1) 전화번호, 2) 기기 종류, 3) 장비 ID, 4) 매달 발생하는 비용, 5) 구독자 ID, 6) 계정 번호, 7) 계정 생성일, 8) 업그레이드 여부, 9) 이름과 성, 10) 청구서 발행 주소, 11) 추가 서비스라고 한다. 그러나 금융 사기를 저지를 수 있는 정보는 유출되지 않았다고 스프린터는 강조했다.

이에 대해 보안 업체 원스팬(OneSpan)의 마케팅 책임자인 샘 바켄(Sam Bakken)은 “사고를 낸 회사가 사기 가능성이 없다느니, 금융 사고가 발생할 가능성이 낮으니 안심하라는 식으로 말하는 건 무식함이나 솔직하지 못함을 드러내는 것”이라고 반박했다. “전화번호와 기기 유형, 기기 ID 등의 정보만 조합해도 계정 탈취를 위한 준비를 시작할 수 있습니다.”

또 다른 보안 업체 시놉시스(Synopsys)의 수석 전략가인 팀 맥키(Tim Mackey) 역시 “그 정도 정보가 유출된 것만으로도 파장이 대단히 클 수 있다”고 말한다. “사이버 공격자들은 최소한의 정보만을 가지고도 정교한 공격을 할 수 있습니다. 통신사와 관련된 정보가 조금만 있어도 심 카드를 교체한다거나 이식을 통하여 계정을 탈취할 수 있죠.”

맥키는 “특히 심 카드를 불법적으로 교체하는 심재킹(SIM-jacking) 공격의 경우, 이중인증 장치도 뚫어낼 수 있어 대단히 위험하다”고 강조한다.

보안 업체 놈실드(NormShield)의 CSO인 밥 말리(Bob Maley)는 “이번 유출 사건에서 가장 중요한 건, 이번이 처음이 아니라는 것”이라고 지적한다. “올해 상반기에는 스프린트의 자회사 중 하나인 부스트 모바일(Boost Mobile)의 파트너사가 사고를 일으켰습니다. 3월 14일에 일어난 일로, boost.com 웹사이트에서 비정상적인 온라인 계정 활동이 발견된 것입니다. 누군가 부스트 모바일의 전화번호와 PIN 코드를 훔쳐갔다는 것이 나중에 파악됐습니다.”

말리는 “이번에도 삼성 웹사이트를 통해 정보가 유출됐다고 하는데, 결국 스프린트가 파트너사 혹은 서드파티 위험 평가에 약점을 가지고 있다고 볼 수 있다”는 의견이다. “제3자와 사업적인 관계를 맺게 된다면, 보안의 측면에서 어떤 위험이 있을 수 있고, 그것이 우리 조직에 어떤 영향을 미칠 수 있는지 걱정이 돼서 미치겠는 것이 CISO의 마음입니다. 그들과 데이터를 공유해야 하는 것인지, 그들이 자기 회사에서 우리 회사로 접속할 수 있어야 하는 건지, 보안의 기본기를 갖추고는 있는지 확실히 알고 싶죠.”

그러면서 말리는 “삼성 정도면 이런 질문들에 전부 ‘그렇다’라고 답할 수 있는 회사”라면서, “양측이 합의 하에 리스크 평가 및 모니터링 기간을 갖고, 보안에 관한 세부적인 내용을 맞추는 게 어렵지 않았을 것”이라고 주장했다. “정말 삼성에서 취약한 점이 있더라도, 스프린트와 삼성과 같은 덩치의 회사라면, 서로 사전에 발견해 사업을 같이 진행했어야 맞습니다.”

많은 기업들이 새로운 파트너십을 맺을 때 보안 평가를 실시한다. 문제는 상호 보안 점검이 이뤄지는 게 그 딱 한 번이라는 것이다. 말리는 “파트너십을 맺었다면, 그 때부터는 주기적인 보안 점검이 이뤄져야 합니다. 즉 ‘상대를 신뢰하긴 하지만, 그래도 확인은 해야 한다’ 혹은 ‘확인을 기반으로 한 신뢰’ 체제가 구축되어야 한다는 것이죠. 아직 ‘확인’ 부분은 정착되지 않았습니다. 서명을 하고 악수를 한 순간부터 서로를 ‘신뢰’하는 데에만 신경을 쓰죠.”

이번 침해 사건은 “서드파티 업체와의 사업 관계가 ‘보안 관계’로까지 이어지지 않는 기업들의 현실을 되돌아보게 한다”고 말리는 정리한다. “사건의 이유가 되었던 부분도 분명 개선되어야 하지만, 사건을 공개하면서 ‘저 회사 때문’이라고 손가락질 한다는 것 자체에서 아직 우린 더 많은 서드파티 침해 사고를 겪어야 하겠다는 생각이 듭니다. 모니터링을 한 번만 하는 게 아니듯, 서드파티 보안 평가도 한 번으로 끝내서는 안 됩니다.”

3줄 요약
1. 미국의 이동 통신사 스프린트, 6월에 데이터 침해 사고 겪음.
2. 이를 발표할 때 “삼성 웹사이트 통해서 침해 일어남”, “추가 사고 발생할 여지 없음”이라고 해서 비판 받고 있음.
3. 서드파티 보안 평가와 점검, 계약서 서명할 때만이 아니라 주기적으로 이어가야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)