美 역사상 최대 규모의 고객 데이터 유출 사건 전말 드러나
지난해 12월, TJX 측은 사법 당국에 4,500만 건 이상의 고객 정보가 해킹 당했다고 알렸다. 월마트의 경우 데이터 도난으로 인해 수백만 달러의 피해를 입었지만 TJX는 데이터 유출 사건의 조사와 고객에 대한 통지, 고객 및 금융 기관의 소송을 처리하기 위한 변호사 고용 등에서 2천만 달러 이상의 비용이 들었다. TJX가 패소할 경우 손실 규모는 어마어마할 수밖에 없다.
4,500만건의 고객 데이터 유출
이번 TJX의 사건은 더욱 파급력이 크다. 거의 1년에 걸쳐 발생한 데이터 침해로 인해 전체 유통 업체는 더욱 몸을 사리게 되었으며 신용 카드 정보를 처리하는 모든 업계에 강력한 조치를 취해줄 것을 요청하고 있다. 또한 관계 당국도 데이터 보안 법률에 대한 입법을 서두르고 있다.
TJX 사태에 대한 자세한 내용은 대중에 공개되지 않았었다. 올 6월이 되어서도 TJX 측은 침입자가 몇 명인지, 아직도 침입 사례가 발생하고 있는지에 대해 함구해왔다. 그 내용에 대해서는 내부 및 외부 소스에 의존할 수밖에 없었다.
매장 내에 있는 컴퓨터 키오스크의 보안이 취약한 것이 이 회사의 IT 시스템에 대한 '게이트웨이' 역할을 한 것으로 InformationWeek의 취재 결과 드러났다.
익명을 요구한 한 제보자에 따르면 TJX의 유통 매장 상당수에 설치된 키오스크는 직원들이 전자적으로 업무를 처리할 수 있도록 해주며 회사의 네트워크에 직접 액세스할 수도 있게 해준다. 하지만 방화벽에 의해 보호되지 않았다.
이 제보자는 "키오스크 단말기의 뒷면을 열고 USB 드라이브를 삽입해 소프트웨어를 설치할 수 있다"고 밝혔다. 증권거래위원회(Securities and Exchange Commission)의 3월 조사에 따르면 TJX는 자사 컴퓨터 시스템에 대해 '악의적인 소프트웨어'가 발견된 바 있다는 것을 인정했다.
USB 드라이브에는 침입자가 이러한 컴퓨터 키오스크를 통제하며 TJX의 네트워크에 연결된 원격 터미널로 전환시키는 유틸리티 프로그램이 포함되어 있었다는 것이 제보자의 증언이다. 그는 TJX의 메인 네트워크에 있는 방화벽이 키오스크에서 발생되는 악성 트래픽을 방어하도록 설정되어 있지 않았다고 전했다.
일반적으로, 컴퓨터 키오스크의 USB 드라이브는 프린터 등의 주변 기기를 연결할 때 사용된다. 제보자는 "키오스크의 경우 기업용 랜에 있어서는 안 되며 USB 포트를 허용하지 말았어야 한다"고 지적했다. 지난 5월, WSJ(Wall Street Journal)은 미네소타주에 있는 마샬의 상점 주차장에 설치된, 보안이 좋지 않은 Wi-Fi 네트워크를 통해 데이터 도난 사건이 발생했다고 게재한 바 있다.
TJX는 신용카드 승인 프로세스에서 일부 데이터가 도난 당한 것을 인정했으며 해당 데이터가 신용 카드로 암호화되지 않고 전송되었다고 밝혔다. 이러한 해킹 기술은 '스키밍(skimming)'의 일종으로, 메사추세츠와 로드 아일랜드(Rhode Island)의 Stop & Shop 상점에서 올해 초에 발생한 238건의 신용 카드 계좌번호 유출에서 사용된 사례와 유사하다.
데이터 절도범이 상점에 침입, PIN 패드 단말기를 통해 정보를 빼낸 것으로, 데이터 절도에 걸리는 시간은 12초에 불과했다고 로드 아일랜드의 미국 변호사 사무소측이 전했다.TJX는 2006년 12월 18일에 보안에 이상이 있음을 처음으로 알아차렸다. 그로부터 며칠 뒤에 제너럴 다이나믹스(General Dynamics)와 IBM의 사고 대응 전문가들이 급파되어 침입 흔적이 있음을 밝혀냈다.
TJX 해킹 사건: 가능한 진입 지점
매장 내부의 키오스크
데이터 절도범들은 매장 내에 설치된 직원용 온라인 단말기에 USB를 삽입해 회사의 네트워크 방화벽을 우회한 다음 TJX의 컴퓨터 시스템에 소프트웨어를 설치한다.
무선 해킹
데이터 절도범들은 상점 외부에서 모바일 액세스 기술을 사용해 보안 수준이 낮은 무선 네트워크에 침입했다.
PIN 단말기
데이터 절도범들은 POS PIN 패드 디바이스를 통해 이동하는 카드 지불 데이터에 액세스했다.
하지만 일부 금융 기관들은 그 이전인 11월에 네트워크를 통해 카드 번호를 훔쳐내는 침입 사례가 급증했다고 주장했다. 데이터 도난을 의심해 고객들의 신용 카드를 재발급한 한 신용 카드 업체의 CEO는 "비자 카드에서 TJX 고객 데이터를 유출당한 사례가 적발되었다"고 밝혔다.
TJX측은 "침입에 사용된 기술 형태와 평상시의 비즈니스 과정에서의 거래 데이터 삭제를 감안해볼 때 그렇게 많은 정보를 도난 당했다고 판단할 수는 없다"고 주장했다. 이 회사는 해당 카드의 75%는 도난 당시 유효 기간이 만료되었거나 도난 정보에는 카드의 마그네틱 선에 보안 코드 데이터가 포함되어 있지 않았다고 밝혔지만 유출된 데이터에는 4,570만 건의 카드 계좌 정보가 포함되어 있었다.
TJX측은 455,000명의 고객의 운전면허증 번호와 주소 등을 도난 당한 것으로 추정하고 있다.
안전한 네트워크 보유하고 암호화해야
카드 소지자의 데이터를 충분하게 보호하기 위해서는 이러한 정보를 처리하는 기업들이 안전한 네트워크를 보유하고 있어야 하며 암호화 등을 통해 데이터를 전송 및 보관해야 하며 소프트웨어의 취약점에 대해 적절하게 패치를 발급하고 액세스 제어 수단을 도입해야 한다. 이를 위해 아메리칸 익스프레스와 마스터카드 월드와이드, 비자 인터내셔널 등 신용 카드 업체들은 TJX의 데이터 도난 사건이 발생하기 2년 전부터 PCI(Payment Card Industry) 데이터 보안 표준을 마련해 시행하고 있다.
물론 PCI는 유통 업체들이 표준을 준수해야만 보안을 향상시킬 수 있다. TJX측은 2006년 연차보고서에서 2003년 9월2일에 마그네틱선으로 된 데이터 저장의 중단을 "일반화"했으며, 2004년 4월7일 이후부터는 모든 지불 카드와 체크 카드 거래, 개인용 정보에 대한 암호화를 "일반화"했다고 기술했다. 또한 2006년 4월3일 이후부터는 지불 카드 거래와 체크 거래 정보에 지불 카드 PIN의 적용을 "일반화"했다고 밝혔다.
하지만 비자는 지난 2월에 TJX가 카드 번호와 유효기간, 카드 인증 코드 등 PCI가 금지하고 있는 정보를 보관하고 있다는 내용의 문서를 카드 발급 및 비자 거래 관련 금융 기관에 보냈다. TJX측은 암호화와 관련, 연차보고서를 통해 "침입자가 암호화된 소프트웨어에 침투하기 위해 복호화 알고리즘을 사용해 액세스한 것으로 판단된다"고 밝혔다.
또한 PCI는 카드소지자의 데이터를 전송하는 무선 네트워크는 Wi-Fi를 보호하는 액세스 기술(WPA나 WPA2)이나 IPSec VPN, SSL/TLS 등을 사용해 암호화되어야 한다는 무선 네트워크 보안을 규정하고 있다. 기밀 정보를 보호하거나 무선랜에 대한 액세스를 보호하기 위해 WEP(wired equivalent privacy)에만 전적으로 의존해서는 안 된다는 조항이 포함되어 있다.
금융권에 파급 효과
TJX의 효과가 유통 업체들에게 파급되기 시작했다. 지난 3월 도난된 데이터가 플로리다를 강타했다. 절도범들이 위조한 신용 카드를 사용해 플로리다에 위치한 50여 곳의 월마트 매장에서 8백만 달러에 달하는 상품을 훔치려 한 것이다.
은행권과 트랜잭션 프로세스를 담당하는 업체들은 보안 기제가 적절치 못해 발생하는 사기 및 위조 사건에 대한 손실 사정에 나서고 있다. 몇몇 금융 기관들은 TJX측을 대상으로 법률적인 소송 절차를 밟고 있다. 중요한 금융 데이터베이스를 보호하는데 있어 방화벽 설치를 소홀히 하고 신용카드 소지자들의 보호되지 않은 정보를 저장해둔 잘못을 지적하고 나선 것이다. MBA(Massachusetts Bankers Association)는 '수천만 달러'에 달하는 피해 금액을 보상받기 위해 TJX을 상대로 집단소송을 제기했다.
법률입안 당국은 TJX의 사건 이후 데이터 보안에 대한 법률안을 강화하고 있다. 8월1일, 미네소타주에서는 금융 기관의 데이터 침해와 관련된 비용을 소비자의 금융 데이터를 잘못 처리한 유통 업체로 이관시키는 법률안인 PCSAM(Plastic Card Security Act of Minnesota)가 발효되었다. 이 법안은 미네소타에 위치한 기업들이 고객의 PIN과 보안 코드, 마그네틱 정보를 거래 승인 이후 48시간 이내에 삭제하지 않을 경우 불법으로 규정하고 있다.
메사추세츠는 지난 8월에 기업들이 개인 데이터가 침해되었을 때 즉시 통지할 것을 골자로 한 법안을 통과시켰다. 하지만 미국의 모든 주에서 이와 같은 법률안이 마련되고 있는 것은 아니다. 텍사스주는 기업들에게 고객 정보를 포함한 중요한 개인 정보에 대한 보안을 강화하라는 법안을 지난 5월에 폐기했다.
패러독스
'TJX 효과'에는 흥미로운 패러독스가 있으며 그 회사의 재무 실적과 관계가 있다. 일부 고객들이 지불 정보 보호를 소홀히 했다면서 집단 소송을 제기하고 있지만 한편에서는 여전히 많은 고객들이 TJX 매장에서 쇼핑을 계속하고 있다는 것이다.
금융 분석가들은 TJX의 2008년 1분기 매출이 전년 대비 6% 상승한 41억 달러에 달했다는 점에서 TJX의 주가가 계속해서 상승할 것으로 전망하고 있다. 순익은 1년 전보다 2% 하락한 1억6,210만 달러를 기록했는데, TJX의 지불한 2천만 달러의 벌금을 감안해 볼 때 나쁜 수준이 아니다.
ID 절도범
플로리다에서 발생한 TJX 데이터 유출 사건은 다음과 같이 두 가지로 요약될 수 있다.
TJX로부터 4,570만 명의 고객 정보를 훔친 범죄자는 아직 체포되지 않았지만 사법 당국은 훔친 정보를 사용해 사기 행위를 저지른 혐의로 올해에만 최소 10명을 체포했다.
지난 7월, 미국 비밀경호국(U.S. Secret Service)는 미구엘 알레그리아(46세)와 레이니어 푸포(22세), 아리엘 몬테로(32세), 자비에르 파드론-브라보(35세) 등 4명의 플로리다 사람들을 체포했다고 발표했다. 이들은 ID 절도와 신용카드 위조 혐의로 기소되었다. 사법 당국은 이들이 TJX 데이터 도난 사건과의 연관성을 추궁하고 있으며 여죄를 조사하고 있다.
이들을 체포한 경찰은 20만 개의 도난된 신용카드 계좌 번호를 압수했으며 현금과 권총이 들어 있는 픽업 트럭도 발견했다.
이에 앞서 3월에는 훔친 TJX 데이터를 이용해 신용 카드를 위조, 플로리다의 67개 카운티에 위치한 50곳의 월마트 및 샘스 클럽(Sam's Club) 매장에서 8백만 달러 상당의 상품권을 사들인 혐의로 6명을 체포했다. 경찰 당국은 어빙 에스코바르(18세), 레이니어 카마라자 알바레즈(27세), 훌리오 오스카 알버티(33세), 디아넬리 헤르난데즈(19세), 나이르 줄레이마 알바레즈(40세), 제니아 메르세데스 로렌트(23세) 등 6명을 사기 혐의와 1급 범죄 혐의로 구속했다.
체포된 사기범들은 여러 장의 상품권(상당수가 400달러에 해당함)을 사용해 결제하려는 쇼핑객을 수상히 여긴 월마트 직원의 신고로 이루어졌다. 500달러 이상의 고액 상품권에 한해 ID를 제시해야 하는 법률을 교묘히 피하기 위해 400달러 상품권을 사용한 것이다.
경찰이 거래 기록과 비디오 판독을 통해 조사해본 결과, 이들은 컴퓨터와 게임기, 대형 스크린 TV를 구매한 것으로 나타났다.
Javelin Strategy & Research가 1,200명의 직불 카드 소지자들을 대상으로 지난 2월에 실시한 설문 조사에 따르면, 데이터 침해 사고가 발생한 상점에서의 쇼핑을 중단하겠다고 응답한 비율은 4분의 3에 달했다고 메리 모나한 분석가가 밝혔다. 84%의 응답자들이 보안이 훌륭한 상점에서 물품을 구매할 것이라는 설문 내용도 공개했다.
하지만 실제는 다르다. ID 및 신용 인증 서비스 업체인 초이스포인트(ChoicePoint)의 법률 책임자인 제임스 리는 "미국은 편리함을 추구하는 사회"라고 밝혔다. 2005년에 초이스포인트는 163,000명의 고객 정보를 도난 당한 사고를 겪은 바 있다.
TJX 역시 많은 사람들이 생각하는 것처럼 ID 도용이 만연되어 있지 않다는 보고서로부터 '수혜'를 입을 것으로 판단된다. 미국 정부회계국(GAOl Government Accountability Office)이 지난 7월에 발행한 보고서에 따르면, 24건의 데이터 침해 사건 중 3건만이 기존 계정을 위조한 증거가 발견되었으며 새로운 계정을 몰래 만든 사례는 단 한 건에 불과한 것으로 나타났다. GAO 보고서는 "18건에 대해서는 ID 도용과 연관지울 증거가 없었으며 나머지 2건은 자료가 불충분해 판단을 유보했다"고 기술했다.
보유 및 보호하고 있는 고객 데이터에 대해 보다 투명하게 만들어야
하지만 TJX 데이터 침해 사건의 여파는 도난당한 데이터의 개념 자체를 송두리째 흔들 만큼 파급력이 커지기 시작했다. 고객이 데이터를 분실할 경우 누군가가 자신의 정보를 도용할 것을 우려한다. 마찬가지로, 기업이 자사의 고객 데이터를 분실할 경우 해당 정보를 금전적인 목적으로 활용할 것을 우려한다.
초이스포인트의 제임스 리는 TJX 데이터 침해 사건이 기업들로 하여금 자사가 보유 및 보호하고 있는 고객 데이터에 대해 보다 투명하게 만들게 될 것이라고 밝혔다. 초이스포인트는 개인 정보를 요청하는 소비자들에게 정보 제공을 자동화하는 프로젝트를 가속화해왔다.
현재 상황을 보면, 소비자가 초이스포인트측에 어떤 정보를 보유하고 있는지 요청할 경우, 초이스포인트는 수동으로 자료를 취합해 메일로 발송하고 있다. TJX 사태로 인해 시스템을 자동화할 필요성을 절감했으며 프로젝트 완료까지는 26주의 시일이 필요할 것으로 제임스 리가 밝혔다.
Ethan Allen Interiors와 J.C. Penney, Liz Claiborne 등의 CEO가 포함된 8개 회원사를 보유하고 있는 NRF(National Retail Federation)의 데이브 호건 CIO는 TJX에 버금가는 또 다른 데이터 침해 사고를 예방하기 위해선 몇 가지 조치가 필요하다고 판단하고 있다.
거래가 완료된 뒤 신용카드 정보를 보유하는 대신에 트랜잭션 자체에 대한 정보 즉, 상점의 번호와 거래 일시, 등록 번호, 인증 번호 등에 관한 데이터만을 보유하는 것이다. 호건 CIO는 "이를 통해 지불 카드의 위조를 최소화할 수 있을 것으로 기대된다"고 밝혔다.
이 경우 유통 업체는 고객들에게 직불 및 신용 구매를 위한 PIN을 입력할 것을 요청해야 한다. 이러한 방법이 데이터 절도 문제를 해결할 수는 없지만 위험성을 낮출 수는 있다는 것이 업계의 관측이다. 더 나아가, 신용카드 업체들이 마그네틱 선으로 된 카드를 PIN 입력 방식의 IC 형태로 교체하는 것이 권장된다.
TJX 효과는 유통 업체들이 고객의 데이터를 보관하지 않는다면 절도범들이 중요한 고객 데이터를 훔칠 수 없다는 기본적인 교훈을 안긴 셈이다.
본지는 미 CMP의 InformationWeek와 라이선스 계약을 체결하고 있습니다.
InformationWeek USA
iweekletters@cmp.com