잇따른 글로벌 항공사 해킹… 한 달 새 세 차례나 발생 '비상'

[아이티데일리] 최근 캐나다, 미국, 호주 등지의 글로벌 항공사가 해킹으로 시스템이 마비되거나 고객 정보가 유출되는 피해가 잇따르고 있다.

3일 CNN 등 외신에 따르면, 호주 콴타스항공이 전산 시스템 해킹으로 고객 600만 명의 정보를 유출했다.

콴타스항공은 2일(현지 시각) “해커가 콜센터를 표적으로 삼아 고객 서비스 플랫폼에 접근했다”며 “회사는 비정상적 활동을 감지 후 즉각 조치했고, 현재 해당 시스템은 통제된 상태”라고 발표했다.

이번 공격으로 △이름 △이메일 주소 △전화번호 △생년월일 △마일리지 정보 등이 유출됐다. 다만 해커가 비밀번호 등 로그인 정보에 접근하지 못했으며, 시스템에는 신용카드 정보, 여권 번호 등은 보관되지 않았다고 회사는 설명했다. 침해가 발생한 콜센터 위치와 피해 규모에 대해선 구체적으로 밝히지 않았다.

콴타스항공 외에도 글로벌 항공사를 겨냥한 사이버 공격은 줄을 잇고 있다. 앞서 지난달 13일 캐나다 항공사 웨스트젯(WestJet)은 내부 시스템 침해로 웹 페이지와 앱 서비스가 중단됐다. 이후 28일 미국 하와이안 항공(Hawaiian Airlines)에서도 해킹으로 일부 IT 시스템에 장애가 발생했다.

미국 연방수사국(FBI)는 연이은 항공사 대상 사이버 공격의 배후로 ‘스캐터드 스파이더(Scattered Spider)’를 지목했다. ‘UNC3944’라고도 불리는 스캐터드 스파이더는 주로 영미권에 거주하는 10대 해커로 구성된 조직으로, 인간 심리를 이용하는 사회공학적 공격에 능숙하다고 알려져 있다.

FBI는 28일 성명을 내고 “스캐터드 스파이더는 직원이나 계약 업체를 빙자해 IT 헬프 데스크를 속이고 접근 권한을 탈취하는 기법을 사용한다”며 “내부 침투 후 민감 데이터를 훔치고 금품을 갈취하며 종종 랜섬웨어를 배포한다”고 설명했다.

스캐터드 스파이더는 특히 내부 직원을 기만해 인증되지 않은 다중인증(MFA) 장치를 손상된 계정에 추가하도록 유도해 기업 내 시스템에 접근했다. 이에 구글 클라우드 맨디언트(Mandiant) 등 글로벌 보안 기업에서는 피해를 예방하기 위해 인프라, 아이디 등에 대해 가시성을 확보하고, MFA 등록 과정에서 신원 관리를 엄격히 할 것을 강조했다.

구글 클라우드 맨디언트 찰스 카르마칼(Charles Carmakal) 최고기술책임자(CTO)는 본인의 소셜 미디어를 통해 “직원 계정에 새 전화번호를 업데이트하거나 MFA 솔루션에 장치를 추가하는 등 신원 확인 절차를 강화해야 한다”며 “스캐터드 스파이더는 공격 대상을 확대하기 전에 일정 기간 특정 분야에 집중한 전례가 있다. 표적이 된 업계 외에도 사용자 인증 등 보안 체계를 점검해야 한다”고 조언했다.