하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

아일랜드 코크시의 파크 바이 폰에서 개인정보 유출 사고 발생
등록일 :
2018.09.12
주차 서비스인 파크 바이 폰, 5000명 사용자의 정보 유출돼
공격자들, 로그인 정보 침해한 후 자동화 기술로 지속적인 접근 시도


[보안뉴스 문가용 기자] 아일랜드의 코크시(Cork City)가 운영하는 주차 서비스인 파크 바이 폰(Park by Phone)에서 정보 유출 사고가 발생해 약 5000명의 사용자들이 피해를 입었다.

[이미지 = iclickart]


사건은 지난 주 목요일에 발생한 것으로, 금요일에 유관기관에 보고됐으나, 조사가 진행되면서 최초 사건은 지난 5월에 벌어진 것으로 밝혀졌다고 아일랜드의 일간지 아이리시 이그재미너(Irish Examiner)는 보도했다.

아이리시 이그재미너는 데이터보호위원회(Data Protection Commission)의 발표를 인용하며, “공격자들이 침해된 로그인 정보를 통해 데스크톱 앱인 것처럼 위장했고, 이를 통해 자동화 기술로 접근을 계속해서 시도했다”고 밝혔다. 또한 정확한 사건 발생일은 2018년 5월 22일이라고 설명했다.

위원회는 이번 사건을 “공인되지 않은 접근 및 개인정보 보유와 주차 서비스 크레딧의 사기적 사용”이라고 규정하고 있다. 그러면서 개개인의 은행 계좌 정보나 지불 카드 정보는 무사하다는 것을 강조했다. 또한 계좌 잔금에 대한 변화도 없었다고 피해자들을 안심시켰다.

이번 사건으로 침해됐을 가능성이 높은 개인정보는 이메일 주소, 모바일 전화번호, 자동차 등록 번호 등이다. 코크시의 파크 바이 서비스 운영자들은 침해 사실을 파악하자마자 KPMG의 보안 전문가들에게 조사를 의뢰했다고 한다.

시의회 측은 이번 사고로 인한 피해를 줄이기 위해 적절한 절차를 밟고 있으며, 정확한 피해 규모 파악 후 당사자들에게 연락을 취할 것이라고 밝혔다.

보안 업체 뉴데이터 시큐리티(NuData Security)의 부회장인 라이언 윌크(Ryan Wilk)는 이번 사건으로 금융 정보가 새나가지는 않았지만, 요즘 공격자들은 개인정보 일부만 가지고도 굉장히 설득력 있는 사기 시나리오를 구성할 수 있어 조심해야 한다고 강조했다. 즉 이번 사건이 결코 ‘대수롭지 않은 것’이 아니라는 것이다.

“최근 공격자들은 자신들이 보유하고 있는 개인정보만 가지고 몇 가지 비밀번호를 추측해 대입해보는 사전 공격(dictionary attack)을 정교하게 실시할 줄 압니다. 피싱 공격 역시 대단히 ‘진짜’같죠. 이메일 주소 하나만 가지고도 피해를 입힐 수 있는 것이 요즘의 공격자들입니다.” 윌크의 설명이다.

그러므로 “정적인 정보 혹은 정태 정보만을 가지고 사용자를 인증하는 체계는 더 이상 안전하지 않고, 누구도 지켜주지 못하다”고 그는 강조했다. “인증에 필요한 정보 자체도 항상 변화시키는 시스템이 필요합니다.”

실제로 온라인 거래를 대규모로 실시하는 조직들은 비밀번호 외에 다양한 인증 수단을 도입하고 있다고 그는 예를 들었다. “그런 조직들은 다양한 기술 솔루션들을 도입해 입체적으로 인증을 진행합니다. 행동 분석이나 안면 인식을 함께 사용한다든지, 데이터 자체에 인증 장치를 결합시켜 데이터를 훔쳐가도 사용할 수가 없게끔 만들기도 합니다.”

3줄 요약
1. 아일랜드의 파크 바이 폰 서비스에서 5000명 개인정보 유출됨.
2. 금융 정보는 무사한 듯 보이나, 요즘 해커들의 실력을 봤을 때 안심할 수 없음.
3. 이제 인증에 필요한 정보도 동적인 것이 되어야 한다는 주장 나옴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top