Breaking
사이버 보안(Cybersecurity)
영국항공의 데이터 유출 사건으로 사이버 공격의 심각성 대두돼
2019-06-26 18:29:55
허서윤
▲영국 항공은 심각한 데이터 유출을 경험했다(사진=ⓒ위키미디어 커먼즈)

[라이헨바흐=허서윤 기자] 영국항공(BA)는 지난 해 8월 대규모 사이버 공격에 직면한 바 있다. 영국항공을 소유한 국제항공그룹(IAG)은 당시 성명서를 발표해 신용카드로 예약한 고객의 카드 정보가 유출됐을 위험이 있으며 특히 4월 21일~7월 28일 사이에 카드를 사용한 고객이 위험하다고 전했다.

8월에는 38만 건의 카드 지불 내역이 위험에 처해 있다고 발표됐다. 해커가 유출했을 가능성이 높은 세부 정보는 전자 메일 주소, 카드 만료일, 7만 7,000명 고객의 CVV 번호 등이다. 18만 5,000명의 고객들도 이름과 주소 등의 개인 정보를 도난 당했을 가능성이 있다.

영국항공의 대변인은 사건 발표 당시 피해를 입은 모든 고객에게 접촉해 이 사실을 알릴 것이라고 말했다. 하지만 어떻게 유출 사건이 발생했는지 밝히기는 어렵다고 덧붙였다.

IAG에 따르면 고객들은 영국항공 시스템에서 데이터가 삭제됐다는 확실한 증거가 없는 경우에도 은행 및 카드 제공 업체에 연락해 예방 조치를 취해야 한다. 영국 항공은 전문 사이버 포렌식 수사관의 도움으로 사건을 조사하고 있다.

 

영국항공의 CEO인 알렉스 크루즈는 사건 발생 한 달 후인 9월에 위반 사태가 발생해 재정적 어려움을 겪은 고객을 지원하겠다고 약속했다. 그는 진심으로 사과하고 "고객의 데이터 보호를 매우 중요하게 생각한다"고 덧붙였다.

한편 대중들은 데이터 유출에 대해 우려하면서도 영국항공의 신속한 대응을 칭찬했다. 항공사는 38만 건의 신용카드 정보 중 24만 4,000건이 영향을 받았다고 확인했다.

또 모든 고객에게 사과하는 이메일을 보냈다. 그런데 이 데이터 유출 사고는 유럽연합(EU)의 새로운 개인정보보호규정(GDPR)에 저촉되는 첫 번째 사례일 수 있다. 한편 지난 해 영국항공은 물론 캐세이 퍼시픽 등에서도 데이터 유출 사고가 있었다.

지난 2018년 3월 캐세이 퍼시픽에서 발생한 데이터 유출 사고는 940만 명에게 영향을 미쳤다. 86만 개의 여권 번호와 24만 5,000개의 홍콩 신분증 번호, 국적, 생년월일, 신용 카드 정보 등이 도난당했다.

두 사건을 연이어 겪으면서 비행기를 타고 이동할 일이 잦은 승객들의 불안이 커지고 있다. 악산(Arxan)의 제품 관리 담당 부사장 러스티 카터는 "이 두 건의 데이터 유출로 항공 여객 업계가 어떻게 변해야 하는지 의문이 제기됐다. 이들은 네트워크와 고객 데이터를 안전하게 보호해야 한다"고 말했다.

▲데이터 유출 문제가 점차 심각해지고 있다(사진=ⓒ픽사베이)

카터 부사장은 항공사가 보안 프로토콜의 취약점을 수정하기 전까지 얼마나 오랜 시간 동안 알려지지 않은 공격이 발생했을지에 대해 경고했다. 그는 "항공사들이 백엔드 시스템과 데이터 베이스를 보호할 수 있는 강력한 보안 기능이나 공격을 실시간으로 식별하고 비정상적인 활동을 감지 및 차단하는 조치를 제대로 취하지 않고 있다는 사실을 보여준다"고 덧붙였다.

조직은 중요한 데이터, 특히 고객 데이터를 관리하고 보호하는 데 도움이 되는 시스템을 마련하는 편이 좋다. 또 위협을 분석하고 탐지하는 도구를 사용하면 사이버 범죄자 및 악의적인 공격 시도와 싸울 수 있다. 이런 시스템이 마련되면 기업은 고객의 개인 데이터를 보호할 수 있을 뿐만 아니라 공격 시 신속하게 대응할 수 있을 것이다.

많은 업계 관계자들은 6개월 사이에 두 건이나 되는 항공사 대상 데이터 유출 사건이 발생한 것에 대해 우려했다.

영국항공은 평판이 우수한 항공사이고, 항공사 자체가 비교적 보안 수준이 높은데도 이런 사건이 발생했기 때문이다. 많은 사람이 더 이상 모든 영역에서 항공사를 신뢰할 수 없다고 말한다.

러시아 해커의 데이터 판매

 

8월에 영국 항공이 공격당해 유출된 데이터가 3개월 후인 11월에 인터넷에서 판매된 것으로 드러났다. 신용카드 정보를 판매한 사람은 러시아의 해커였다. 플래시포인트(Flashpoint)와 리스크 IQ(Risk IQ)의 연구진에 따르면 해커는 각 카드 정보에 대해 9~50달러를 부과했고 전체적으로 수백만 달러를 벌었다.

해커들은 훔친 카드 정보를 다크 웹에서 판매했다. 이 사실을 알게 된 영국 항공 고객들은 자신의 소셜미디어에 좌절과 실망, 불안감 등을 표시했다.

많은 고객이 사건 이후 신용카드를 취소했는데, 이 과정에서 영국항공이 도움을 주지 않고 모든 일을 고객이 알아서 처리해야 했다는 점에서 불만을 품은 사람도 있었다.

[라이헨바흐=허서윤 기자]