Breaking
사이버 보안(Cybersecurity)
HSBC 은행, 미국 내 고객 데이터 유출
2019-05-28 17:41:28
장희주
▲HSBC가 지난해 미국 내 고객 데이터 유출을 겪었다(사진=ⓒ플리커) 

[라이헨바흐=장희주 기자] 전세계적으로 금융 기업을 상대로 한 해킹 공격이 급증하고 있는 가운데, 글로벌 금융 서비스 기업인 HSBC 은행 역시 지난해 10월 미국 내 비즈니스를 타겟으로 한 해킹으로 데이터 유출을 겪었다.  

다만 HSBC는 피해자 수가 미국 전체 고객 가운데 1% 가량에 지나지 않는다고 밝혔지만, 민감한 재무 정보가 노출되면서 개인 정보 보호에 대한 심각성이 대두되고 있다. 

HSBC 데이터 유출 

HSBC에 따르면 이번 해킹은 지난해 10월 4일 ~ 14일 사이에 발생한 것으로 보인다. 은행은 추가적인 무단 접근 행위를 방지하기 위해 침해 영향을 받은 계정에 대한 온라인 접근을 즉시 차단했다고 덧붙였다. 

HSBC는 전세계 80개국 이상에 7,500여 곳의 지점을 보유하며 국제적인 네트워크를 형성하고 있다. 이에 다른 지역으로의 확산을 차단하기 위한 재빠른 조치를 취한 것으로 보인다.  

실제로 해커는 대규모의 데이터에 접근했던 것으로 추정되는데, 은행에 따르면 이번 데이터 유출에는 계좌 유형과 계좌 번호, 잔고 및 수취인 계좌 번호, 계좌 내역 및 거래 내역 등이 포함돼있는 것으로 확인됐다. 

은행은 이같은 고객의 정보 보안이 매우 중요하다며, 이에 해킹 사건을 매우 심각하게 받아들이고 있다고 밝혔다. 다만 해킹으로 영향을 받은 정확한 고객 및 계정 수에 대한 상세 정보는 밝히지 않았다.  

그러나 대략 3,800만 명이 넘는 고객을 보유하고 있는 대규모 비즈니스를 구축하고 있는 것으로 볼때 피해를 입은 고객 수는 상당할 것으로 예상된다. 현재 HSBC가 비즈니스를 운영하는 지역은 미국외에도 유럽과 아시아, 북미 및 중남미, 북아프리카, 그리고 중동 등 전세계 대부분을 차지한다. 

크리덴셜 스터핑(Credential stuffing) 공격 

크리덴셜 스터핑 공격이란, 해커가 확보한 크리덴셜(로그인 정보 등 개인 신상이 암호화된 정보)을 다른 계정에 마구 대입하는 방식을 의미한다. 즉, 정보를 얻고 탈취하기 위해 많은 접속 시도가 이루어지는데, 보통 동일한 비밀번호로 여러 계정에 사용할경우 이러한 해킹에 취약해질 수 있다. 

텔레그래프지에 따르면 당시 공격 역시 해커가 이러한 방식으로 여러 온라인 은행 계좌에 접근할 수 있었던 것으로 나타났다. 미국가안보국(NSA)은 해커가 많은 수의 암호화된 사용자 이름을 확보, 자동화된 주입 도구를 사용해 여러 웹사이트에 이들 암호 조합과 사용자 이름 조합을 실행시켜 계정이 일치하는지 확인하면서 공격을 행한 것으로 추정했다.  

이번 해킹은 사용자들의 동일한 암호 지정 습관을 노린 공격이다. IT 운영 및 관리 분야에서 20년의 경력을 보유한 '리퀴드매트릭스 시큐리티 다이제스트'의 창립자 데이브 루이스는 이전 포브스에 기고한 글을 통해 사용자들의 동일한 암호 지정 행태를 지적한 바 있다.  

만일 인터넷 뱅킹 계좌에서 특정 비밀번호를 지정했다면, 다른 여러 소매 사이트에서도 동일한 암호를 사용할 가능성이 높다는 것. 즉 이러한 습관적인 행동이 해커에게는 유리하게 작용, 결국 실질적인 문제로 발생할 수 있다는 논리다. 

가령 공격자가 침입한 사이트에서 특정 사용자의 암호와 이메일을 확보했다면, 이후 동일한 자격 증명 조합을 사용해 더 크거나 중요한 사이트로 해킹할 가능성도 높아지는 것이다.  

HSBC 대변인은 이와 관련 자사가 고객 보호에 대한 의무를 다하고 있다며, 데이터 유출에 대한 대응으로 인증 및 로그온 프로세스를 강화했다고 밝혔다. 이어 모든 비즈니스 및 개인 은행 계좌에 모바일 및 디지털 액세스를 위한 추가 보안 계층을 구현했다고 덧붙였다. 
 

▲여러 웹사이트에 동일한 암호를 설정하면 크리덴셜 스터핑 공격에 취약할 수 있다(사진=ⓒ위키미디어 커먼스)


'아이덴티티 가드' 조치 

은행은 자사의 추가적인 조치로 '아이덴티티 가드' 서비스를 강조했다. 이 서비스는 신용 모니터링 및 신원 도용에 관한 보호 서비스를 1년간 무상 제공하는 것이다.  

이를 통해 고객 신용 데이터에 대한 필수적인 보호 및 보니터링을 강화한다는 취지다. 또한 이 서비스는 신원 도용 가능성을 암시하는 특정 활동에 대해서도 미리 경고하는 기능을 갖추고 있다. 

은행 계좌 소유자의 보안 조치 강화 

은행 계좌를 보유한 사용자들 역시 자신이 거래하지 않은 내역이 있는지 수시로 꼼꼼히 확인하고, 사기성 내역의 흔적이 발견된다면 이를 경고하는 자세가 요구된다. 다만, 은행은 현재 이번 해킹으로 인한 사기 거래 증거는 아직 발견돼지 않았다고 밝혔다. 

HSBC는 또한 자사 고객의 은행 계좌에 대한 접근 보호를 더욱 강화할 목적으로, 정기적으로 암호를 변경할 것을 권장하고 있다. 지난 5월에는 비즈니스 고객들을 상대로 HSBCnet 모바일에 로그인할 수 있는 안면 인식 옵션을 도입하기도 했다.  

당시 HSBC의 기업 및 디지털 연구소의 글로벌 책임자인 니얼 캐머런은 자사가 기업 및 비즈니스를 대상으로 금융 서비스 분야에서 이 기술을 개척하고 있다고 밝힌 바 있다. 그에 따르면, 해당 기술은 고객 얼굴에 대한 3만 포인트 깊이의 맵을 생성할 수 있다.  

이에 안경을 썼다거나 나이가 들어 노화됐어도 여전히 사용자를 인식하는데 문제가 없다는 설명이다. 그러면서 안면 인식 기술은 은행이 고객에게 보다 편리하고 빠르며 그리고 안전함을 제공할 수 있도록 투자하고 있는 많은 기술 가운데 하나라고 밝혔다. 

[라이헨바흐=장희주 기자]