보안

메리어트 데이터 침해 사건 FAQ, 사건의 전말과 영향

Josh Fruhlinger | CSO 2020.02.19
메리어트 데이터 침해 사건에 대해서는 많은 세부 정보가 공개되지는 않았다. 하지만, 이 사이버 공격 사건은 IT 보안, 인수합병, 중국 스파이 활동에 대한 충분한 경각심을 불어일으킨다. 
 
ⓒ GrandeDuc / Getty Images

2018년 말, 메리어트 호텔 체인은 예약 시스템 가운데 하나가 해킹당했다고 발표했는데, 공격자에 의해 신용카드와 여권번호 등을 포함한 수억 건의 고객 기록이 유출됐다는 내용이었다. 

메리어트는 해킹의 전체 상황이나 기술적 세부 사항을 공개하지 않았지만, 현재 아는 것만으로도 당시 위협 상황에 대해 많은 정보를 제공하며 다른 기업들에게 자사를 보호하는 방법에 대한 교훈을 제공한다. 메리어트 데이터 침해 사건과 관련해 자주 묻는 10가지 질문으로 정리했다. 


메리어트 데이터 침해 사건은 언제 일어났는가? 

2018년 9월 8일 웨스틴(Westin), 쉐라톤(Sheraton), 세인트 레지스(St. Regis) 및 W 호텔을 포함한 메리어트 스타우드(Marriott's Starwood)의 내부 손님 예약 데이터베이스에 액세스하려고 시도하는 수상한 내부 보안 도구를 포착했다. 

메리어트는 내부 조사 결과, 스타우드가 현재 스타우드 네트워크가 아닌 별개의 회사였던 2014년에 해킹 당한 것이라고 발표했다. 메리어트는 2016년에 스타우드를 인수했지만 거의 2년이 지날 때까지도 스타우드 호텔은 메리어트의 예약 시스템으로 마이그레이션하지 않았고 이전 IT 인프라를 계속 사용하고 있었다(이 조사 결과에 대해 메리어트는 자세한 사항을 공개하지 않았다. 이에 대해서는 나중에 자세히 살펴볼 중요한 요소다). 

메리어트가 밝힌 바에 따르면, 공격자들이 스타우드 시스템을 제거하기 위해 암호화를 시도했다는 데이터를 발견했다. 2018년 11월 메리어트는 이 데이터를 해독할 수 있었는데, 최대 5억 명의 손님 기록 정보가 포함되어 있다는 사실을 발견했다(물론 개별 손님에 관한 중복 기록이나 복수의 기록을 포함하고 있다). 많은 기록에는 신용카드와 여권번호와 같은 매우 민감한 정보가 포함되어 있었다. 메리어트는 침해의 심각성을 파악하고 2018년 11월 30일 앞서 설명한 기본 사항을 담은 성명서를 발표했다. 


메리어트 데이터 침해 사건의 원인은 무엇인가? 

메리어트는 이 공격에 대한 세부 정보를 공개하지 않았기 때문에 어떤 취약점이나 실수가 침해 사고의 직접적인 원인이었는지는 확실히 말할 수 없다. 다만 메리어트 CEO 아르네 소렌슨은 미국 상원에 출석해 이 공격에 대해 설명했으며, 당시 증언 녹취록은 우리가 알고자 하는 많은 정보를 제공하고 있다. 

앞서 언급했듯이 메리어트는 보안 도구가 비정상적인 데이터베이스 쿼리를 표시할 때, 해킹 당했음을 처음 인지했다. 이 도구는 실제로 합병 전에 스타우드에 대한 IT 및 정보보안을 실행해왔고, 그 후에도 레거시 네트워크에 대해 계속 임무를 수행한 액센추어가 모니터링했다. 분석 결과, 데이터베이스 쿼리는 관리자 권한을 가진 사용자에 의해 수행됐지만, 해당 계정이 할당된 사람이 아닌 다른 사람이 그 쿼리를 관리하고 있었던 것으로 밝혀졌다. 

수사관들은 단서를 찾기 위해 시스템을 수색하기 시작했고, 시스템 메모리에서 사용자 이름/비밀번호를 스니핑하는 도구인 미미카츠(MimiKatz)와 원격 접속 트로이(Remote Access Trojan, RAT)를 발견했다. 이 2가지 도구를 함께 사용하면 공격자가 관리자 계정을 제어할 수 있다. RAT가 스타우드 서버에 어떻게 배치됐는지는 확실하지 않지만, 이런 트로이목마는 종종 피싱 이메일에서 다운로드되므로 이번 사건에서도 그랬을 것이라고 추측하는 것이 타당하다.   

그러나 이런 특정 공격 경로 뒤에 숨어있는 것은 해킹의 근본 원인을 파악할 수 있는 일련의 문화적, 비즈니스 요소가 담겨있다. 여기서 주목할 것은 이 공격이 스타우드 시스템을 뚫는 데 성공했다는 것이 아니다. 

오늘날 대부분의 보안전문가들은 모든 공격자를 항상 막아내는 것은 불가능하다고 생각한다. 하지만 이 공격은 4년동안 탐지되지 않았다는 것이다. 스타우드는 메리어트가 인수하기 전에는 최고의 보안 문화를 갖지 못했다. 월스트리트저널은 스타우드 직원이 예약 시스템의 안전을 확보하기가 어려웠으며 실제로 다른 공격자가 2015년에 시스템에 침입했을 때에도 8개월동안 탐지되지 않았다고 보도했다. 

2016년 9월, 매리어트가 스타우드를 인수한 후, IT와 보안을 관리하는 사람들을 포함한 스타우드의 직원 대부분이 해고됐다. 이런 유형의 예산 절감은 합병을 추진하는 당연한 결과이며 더 높은 수익을 창출하기 위함이었다. 메리어트는 자체적으로 새로이 인수한 수천 개의 호텔에 손님을 예약할 준비가 전혀 되어있지 않았기 때문에 스타우드의 낡은 시스템을 사용할 수밖에 없었다. 이 시스템은 오랫동안 악성코드에 감염되어 해킹당한 채로 침해가 발견되기 전까지 2년동안 마치 좀비처럼 살아있었다. 


메리어트 침해 사건이 주는 영향은? 

프라이버시 분야에서 메리어트 데이터 침해 사건은 치명적이었다. 수억 명의 사람들이 여권과 신용카드 번호를 도난 당했기 때문에 개인에게 심각한 재앙이 될 수 있었다. 신용카드 번호는 특히 우려스러운 점인데, 이를 도난 당했다는 것은 메리어트 측의 또다른 보안 실패로 인해 가능해졌다. 신용카드 번호는 암호화된 형태로 저장됐지만, 암호화 키가 동일한 서버에 저장되어 있었다. 여권번호에 대해서는 일부는 암호화되어 있었던 반면, 대다수는 단순히 저장되어 있었다. 
 
그러나 실제 이 침해 사건은 스타우드 고객에게 피해를 줄 것으로 보이진 않는다. 이상하게 들릴 지 모르지만, 그 이유를 이해하려면 메리어트를 침입한 공격자와 침입 목적에 대해 몇 가지를 더 알아야 한다. 


매리어트를 해킹한 이는 누구인가?  

소비자 데이터의 대량 도난은 종종 신분 도용을 하거나 도난당한 신용카드 번호를 이용하려는 사이버 범죄자들과 관련이 있다. 그러나 2018년 12월, 뉴욕타임스와 워싱턴포스트는 익명의 미국 정부 소식통을 인용해 메리어트를 해킹한 이들이 중국 정보국에 고용된 해커들이라고 지목했다.  

뉴욕타임스와 워싱턴포스트 보도에 따르면, 해커들은 공개된 것보다 더 많은 데이터에 액세스할 수 있었으며, 사용된 코드와 공격 패턴은 국가 후원의 중국 해커가 사용하는 기술과 일치한다. 예를 들어, 공격자들은 중국 해커들이 자주 사용하는 클라우드 호스팅 공간을 사용했다(미국의 정보기관이 조사에 관여한 것과 공격의 기술적인 세부 사항이 왜 그다지 많이 공개되지 않았는지 설명된다). 이번 침해 사건이 단순히 사이버 범죄가 아닌 정부 공격의 일부라는 또 다른 단서는 수백만 건에 달하는 귀중한 기록이 어느 것도 다크웹에서 판매되지 않았다는 점이다. 이는 단순한 약탈이 아니었다.

 
그렇다면 공격의 동기는 무엇인가? 

미 정부 소식통은 이 공격에 대해 미국 공무원과 정보 장교에 대한 방대한 양의 데이터를 수집하기 위한 중국의 광범위한 노력의 일환으로 파악했다. 메리어트는 미국 정부 및 군대를 위한 최고 호텔 제공업체다. 특히 도난당한 여권번호는 전 세계의 움직임을 추적하는 데 사용할 수 있다. 미국 인사국(Office of Personnel Management, OPM)의 시스템 침해 사건도 아마도 같은 캠페인의 일부일 것이다. 

그 결과, 수백만의 개인들은 그들의 데이터를 도난 당했지만 다크웹 상에서 판매되거나 사기에 이용되는 데이터는 없었다. 공격자의 더 큰 목표는 빅데이터 기법을 사용해 분석할 수 있는 미국 정부 직원과 요원에 대한 정보의 데이터 호수를 만드는 것이다. 

돌이켜보면 메리어트는 스타우드를 인수할 당시 중국 업체인 안방(Anbang)과 입찰 경쟁을 펼쳤다. 그러나 2016년 인수가 끝났을 때, 중국 해커들은 이미 스타우드 시스템을 뚫었으므로 이는 우연의 일치일 수도 있다. 

2020년 2월, 미국 법무부는 수백만 명의 개인에 대한 개인식별 정보를 제공하는 에퀴팩스(Equifax)에 대한 2017년 공격으로 중국군인 4명을 공식적으로 기소했다. 기소 발표에서 에퀴팩스 공격은 동일한 대규모 캠페인의 일환으로 메리어트와 OPM 침해 사건을 명시적으로 연관지었다. 이는 미국 정부가 이번 공격을 얼마나 심각하게 받아들였는지를 보여주는 극히 드문 조치다. 지금까지 미국은 미국 첩보원을 향한 보복을 피하기 위해 외국 정보기관에 대해 형사 고발을 거의 하지 않았다. 


이 사건에 대해 메리어트는 어떻게 대응했나?

도난당한 데이터가 기존 사기 행위에 사용될 즉각적인 위협이 없는 것으로 보이기 때문에 메리어트는 데이터를 도난당한 고객을 보상하는 것에 대해 최선을 다하지 않았다. 

뉴욕타임스는 메리어트 대변인의 말을 인용해, “사기가 발생할 경우, 메리어트가 여권을 새로운 번호로 교체할 비용을 지불하거나 신용카드 사용료에 대한 비용을 지불할 것”이라고 보도했다. 현재 중국 정보기관에 저장되어 있을 것으로 추정되는 개인 데이터로 인한 잠재적 피해는 이론적으로는 심각하지만, 개인 피해에 대해서는 정량화하기 어렵다.  


이 사건에 대한 집단 소송은 있는가?  

독자 가운데 피해를 입은 사람이 있다면 전혀 위안이 되지 못하겠지만, 실제로 메리어트와 스타우드 고객들은 이 문제를 전혀 해결하지 못했다. 다수의 집단 소송을 이미 제기됐으며, 메리어트가 스타우드의 정보보안에 대한 실사를 수행하지 못한 잘못에 대해 원고의 고소장에 구체적으로 언급됐다. 스타우드와 메리어트가 일상적인 IT 운영의 상당 부분을 아웃소싱하도록 컨설팅한 액센추어도 동일 소송의 피고인으로 포함됐다. 

하지만 메리어트 데이터 침해 사건에서 피해자들이 큰 보상을 받게 될 것이라고 기대해서는 안된다. 미국의 비영리단체인 소비자협회인 컨슈머리포트(Consumer Reports)는 고객이 자동으로 집단 소송에 참여할 수 있는 방법과 해당 소송에서 빠질 수 있는 방법에 대해 세부 사항을 제공한다. 컨슈머리포트는 개인에 대한 보상은 많지 않을 것이라고 예측했다. 


메리어트 데이터 침해 비용은 얼마인가?

그렇다고 메리어트의 피해 비용이 사라지는 것은 아니다. 2019년 3월 기준으로, 메리어트는 침해 사건과 관련해 2,800만 달러의 비용이 발생했지만 회사의 순이익을 300만 달러까지 낮추는 데 그쳤다. 5월까지 메리어트는 손실을 겨우 100만 달러로 줄였다. 어떻게 그럴 수 있었을까? 사이버 보험은 이 사태와 관련한 초기 비용의 상당 부분을 부담했다. 사이버 공격에 대한 보험은 비교적 새로운 상품이지만 메리어트에게는 큰 도움이 됐다. 

그러나 초기 비용은 그저 시작에 불과하다. 향후 메리어트를 기피하는 고객들에 의해 발생하는 직접적인 비용과 간접적인 손실로 인해 이 회사는 결국 수십억 달러의 매출 손실을 볼 것으로 추정된다. 


메리어트는 데이터 침해로 인한 벌금을 물었는가?  

실제로 2019년 7월에 메리어트에게 큰 타격이 가해졌다. 영국의 정보위원회(ICO)는 GDPR에 따라 영국 시민의 개인정보보호 권리를 침해해 9억 9,000만 파운드(약 1조 5,000억 원)의 벌금을 부과했다(GDPR은 EU법이지만, 블랙시트가 통과하지 않았던 당시에는 영국에도 적용됐다).  

ICO는 스타우드의 IT 인프라에 대해 메리어트가 벌을 받는 이유에 대해 메리어트가 실사를 하지 않은 실수를 구체적으로 언급했다. 다른 국가들도 메리어트의 과실에 대해 처벌할 수 있기 때문에 이 엄청난 벌금은 시작에 불과할 것이다. 


메리어트의 실수로부터 배울 수 있는 것은? 

이번 메리어트 침해 사건에 대한 모든 세부 사항을 결코 알지 못할 수도 있지만, 이미 많은 중요한 사항을 파악할 수 있었다. 
 
  • 스타우드와 메리어트는 기본적인 보안 실패에 대해 유죄를 선고받았다. 예를 들어, 공격자가 시스템을 침입한 후, 수년 동안 시스템에 머무를 수 있었다는 것은 심층 방어(defense in depth)의 결여를 의미한다. 
  •  
  • 또한 암호화된 데이터와 이를 암호화하는 데 사용되는 키를 분리해 보관하지 않았다는 점이다. 메리어트는 가장 중요한 사이버보안 규칙, “위험에 처했다고 가정하고 그에 따라 행동하라”라는 규칙을 따르지 않았다.
  •  
  • 메리어트와 스타우드의 합병과 관련해 스타우드 IT 직원의 해고와 스타우드 레거시 시스템을 오랫동안 유지했다는 점이 문제를 악화시켰다. 영국의 대규모 벌금은 규제 당국이 이런 종류의 문제는 사후 합병법인에게 책임을 물을 것임을 시사한다. 
  • 여행 데이터는 개인의 라이프 스타일, 취향, 관계에 대한 주요 인사이트를 제공할 수 있는 정보가 풍부함에도 불구하고, 여행 산업은 사이버보안과 관련해 은행과 같은 분야에 비해 훨씬 뒤떨어져 있어 지금 바로 따라잡을 필요가 있다. 
  •  
  • 마지막으로, 각국의 사이버 첩보 활동이 개인들에게도 피해를 줄 수 있다는 사실을 보여줬다. 


메리어트 데이터 침해 사기란 무엇인가?  

이와 같은 대규모 침해 사건의 여파로 인한 일반적인 사기는 피해를 입은 회사에서 온 것으로 주장하는 피싱 이메일 형태로, 비밀번호를 재설정하도록 요청한다(로그인 자격증명 획득). 사용자는 이와 같은 사기에 대해 각별히 신경쓰고 경계해야 한다. 메리어트는 해당 사건과 관련된 자료를 당황스러울 정도로 다양한 URL을 가진 웹사이트에 올리기로 결정함으로써 사기 방지에 도움이 되지 않았다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.