보안

아마존 해킹, 고객 서비스 보안 약점을 이용

Taylor Armerding | CSO 2012.12.27
미국에서 가장 큰 온라인 유통업체인 아마존은 여전히 구멍이 많은 보안 프로토콜을 상당히 갖고 있는 것으로 알려졌다. 
 
웹 개발업체 시냅스 스튜디오의 매니징 파트너 크리스 카디널은 최근 고객들보다 아마존 자체에 더많은 피해를 입히고 있는 한 결점을 발견했다고 주장했다. 
 
이 결점은 지난 여름 한 해커가 와이어드 기자인 매트 호난의 디지털 신원 보호 장치를 해킹해 그의 클라우드 계정을 지우고 그의 트위터 피드를 갖고 놀았던 결점보다는 파급효과가 그리 크지 않다.  
 
이에 대해 아마존은 이에 대해 응답을 요청한 이메일이나 전화에 아무런 반응을 보이지 않았다.
 
그러나 HTMList에 이를 보도했던 카디널의 경험은 아마존이 자체 보안을 강화해야 한다는 필요성을 증명했다. 
 
카디널은 문제는 웹 서비스에 약점이 아니라 고객 서비스에 있다고 전했다. 
 
사기꾼들은 회사에 사기를 치기 위해 그의 이름과 주소를 사용해 구매 이력을 요구하고 심지어 이미 받은 제품에 대해서도 다른 주소로 대체 물품을 보내기를 시도한다.   
 
카디널은 12월 중순 어느 아침 아마존 고객 서비스 담당자에게 자신이 이미 받은 카메라와 필터를 주문한 것에 대해 문제가 있다는 한 이메일을 받으면서 시작됐다. 
 
수 시간이 지나 고객 서비스는 그에게 이 문제에 대해 사과를 하며 대체 물품을 주문했다는 이메일을 보냈다. 그리고 첫번째 주문한 것에 대해 그의 신용카드에 요청된 것을 환불하고 아마 미발송됐거나 배송 중 도난을 당한 것으로 처리했다.
 
이메일은 이 주문이 그의 이름으로 배송됐다고 전했다. 그러나 그 배송 주소는 미국 오레곤주 포틀랜드로 되어 있었다. 
 
카디널은 "나는 오래곤주가 정말 좋다는 걸 안다. 그러나 나는 결코 거기 살지 않는다"고 전했다. "더 중요한 것은 나의 카메라는 지금 바로 여기에 있다. 분명히 대체품이 필요하지 않았지만 아마존은 유령의 대체품을, 유령의 크리스 카디널에게, 유령의 미국 태평양 북서부 주소지로 배송하고 있다."
 
그는 대체 주문을 취소하고 아마존 고객 서비스에게 이런 사기 행각에 대해 알렸다. 
 
카디널은 "이는 고객 서비스 담당자(customer service representative)가 채팅 이력을 제대로 검사하지 않고 잠재적 사기 징후를 짚어낼 수 없는 것을 의미한다"고 말했다.  
 
카디널은 어느 한 소셜 엔지니어링 포럼의 사용자들이 아마존 주문 번호를 사기 위해 요청하고 있는 것을 발견할 수 있었다. 
 
그는 아마존에게 "웹 특성상 매우 안전하다는 것이 필수"라고 말했다. 온라인에서 주소를 바꾸거나 신용카드를 추가하는 등의 무슨 일을 하든지 비밀번호를 요구하고 있다. CSR 팀은 몇 개의 간단한 데이터와 아주 적은 사생활 정보에 의해 마치 도미노처럼 줄줄이 무너졌다
 
카디널은 미스터리한 포틀랜드 주소는 리십닷컴이라 불리는 한 회사가 소유한 것을 발견했다. 이 업체는 미국 밖으로 선물이나 편지를 보낼 때 가상 메일 주소를 갖게 해준다. 카메라는 이미 해외로 반출된 것이다. 
 
카디널은 아마존 CSR에게 "사기꾼들은 당신들이 필요한 것은 이름과 이메일 주소 그리고 빌링 주소뿐이며, 당신들이 무엇을 할 수 있고 무엇이 필요한지 잘 알고 있다"며, "그들은 지불 수단 또는 새로운 주문을 추가할 수 없으며, 기존 지불 수단에 대해 확인할 수 없다. 그러나 주문 번호는 읽을 수 있으며, 제품을 대체하거나 재요청하는 절차를 할 수 있다"고 설명했다.
 
화이트햇 보안 위협 연구소 이사 매트 요한센은 "카디널이 말한 사기 수단은 정말 오래된 수법이다. 소셜 엔지니어링 공격방법은 이미 다른 온라인 유통업체들에게도 다양한 형태로 꽤 많이 사용된 바 있다"고 전했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.