Home > 전체기사
미국 백화점 센추리21의 전 시스템 관리자, 유급 휴가 주려고 해킹
  |  입력 : 2020-10-26 14:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
퇴사 전에 이미 슈퍼유저 계정 만들어 자유롭게 접속...퇴사 후에도 애용해
휴가 관련 데이터 조작함으로써 일부 직원들, 쉬고도 월급 받게 만들어


[보안뉴스 문가용 기자] 미국의 백화점 브랜드인 센추리21(Century 21)에서 악성 내부자 사건이 발생했다. 전 시스템 관리자가 퇴사 후 회사의 비밀 네트워크에 불법으로 접속해 여러 가지 데이터를 조작한 것이다.

[이미지 = utoimage]


체포된 용의자는 뉴욕에 거주하고 있는 헥터 나바로(Hector Navarro)라는 인물로, 센추리21의 네트워크에 슈퍼유저 계정을 하나 만들고, 이를 통해 회사 바깥에서 네트워크의 여러 부분에 접속해 온 혐의를 받고 있다. 이러한 행위는 회사를 그만두고서도 계속됐다고 한다.

센추리21의 직원이었을 때 나바로는 HR 시스템을 관리하는 역할을 담당했었다. 2012년부터 2019년 10월가지 맨해튼 지부에서 주로 근무했었고, 그 기간 동안 회사의 데이터 관리 시스템이나 시간 관리 시스템에 자유롭게 접속할 수 있었다고 한다.

나바로는 브루클린에 있는 자택에서 센추리21의 네트워크에 접속해 데이터들을 조작해 왔다. 심지어 자기 후임자 역할을 했던 컨설턴트들이 센추리21의 컴퓨터 네트워크에 접속해 세부적인 구조와 요소를 파악하기 힘들게 만들기 위해 여러 데이터를 삭제했다고도 한다.

맨해튼 지방 검사실 측은 오늘 공식 발표문을 통해 “나바로는 퇴사 직전까지 계속해서 센추리21의 직원 데이터를 훔쳐냈고, 회사가 승인하지도 않은 슈퍼유저 계정을 네트워크 내에서 생성해 퇴사 후에도 이를 통해 회사 내부 네트워크에도 드나들 수 있었다”고 설명했다.

센추리21 측은 나바로의 후임들이 계속해서 시스템에 원활하게 접근하지 못하는 것을 의심하다가 이러한 사실을 알아냈다고 한다. 내부 수사를 진행했고, 이를 통해 센추리21의 휴가 관리 명단과 데이터, 정책 등이 허가 없이 변경되었다는 것을 알아냈다.

이 때문에 일부 직원들은 일부 직원들은 휴가 기간에도 출근을 한 것처럼 처리가 되어 긴 유급 휴가를 누리기도 했다. 센추리21은 이러한 오류를 뒤늦게 파악하고 정정했는데, 이 과정에 수만 달러의 비용이 들어갔다고 한다. 삭제되거나 변경된 데이터를 원상복귀시키는 것도 여기에 포함되어 있다.

이 사건을 담당한 지방 검사 사이 밴스(Cy Vance)는 기자 회견을 통해 “나바로의 악성 행위가 탐지되지 않았다면 센추리21은 5만 달러 이상의 손해를 자기도 모르게 입을 수밖에 없었다”고 설명했다. 그러면서 “이 같은 행위는 중대한 범죄에 속하며, 맨해튼의 기업 환경 전체를 저해하는 결과를 낳았다”고 강조했다.

뉴욕 주 대법원은 기소장을 통해 나바로를 2급 중절도죄로 입건했다. 그 외에도 그에게는 2급 고의적 기물 손괴, 3급 컴퓨터 부당 변경, 컴퓨트 무단 침입, 경절도죄, 장물 취득죄 등의 혐의가 따라 붙은 것으로 알려져 있다.

3줄 요약
1. 미국의 유명 쇼핑 브랜드인 센추리21의 전 시스템 관리자, 퇴사 후 데이터 조작.
2. 퇴사 전에 슈퍼유저 계정 만들어 지속적으로 접근해 데이터 변경하거나 삭제.
3. 후임자들의 업무 계속 방해하자, 회사가 의심하고 원인 찾다가 알아냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)