Breaking
사이버 보안(Cybersecurity)
유니클로, 해킹 공격으로 46만 명 고객 데이터 침해당해
2019-06-26 18:29:55
허서윤
▲패스트 리테일링에 발생한 해킹 공격으로 유니클로와 GU 재팬의 온라인 고객 46만 1,091명의 정보가 침해됐다(사진=ⓒ123RF)

[라이헨바흐=허서윤 기자] 최근 유니클로 모회사 패스트 리테일링에 발생한 해킹 공격으로 유니클로와 GU 재팬의 온라인 고객 46만 1,091명의 정보가 침해된 것으로 나타났다.

업체측에 따르면 이 공격은 지난달 23일부터 이달 10일 사이에 벌어졌으며, 일부 신용 카드 번호는 해커들에게 탈취된 것으로 알려진다.

패스트 리테일링은 13일 보안 권고사항에 관한 공지를 게시, 해커들이 무단으로 접근했을 가능성이 있는 정보에는 이름과 집 주소, 연락처, 이메일 주소, 성별, 생년월일, 구매 이력 및 의류 사이즈 등이 포함된다고 밝혔다.

다만 신용 카드 뒷면의 CVV 번호는 시스템에 저장하거나 공개하지 않아 침해되지 않았다고 덧붙였다.

업체는 현재까지 해커들이 탈취한 고객 정보가 사기성으로 이용됐다는 증거는 밝혀지지 않았지만 즉각적인 예방 조치의 일환으로 고객들이 가능한 빨리 비밀번호를 업데이트할 것을 촉구했다.

이번 해킹 공격은 고객들이 모르는 이메일을 받았다는 신고가 접수된 후 조사를 통해 발견됐다.

그 결과 지난달 23일부터 최근 10일까지 외부인이 무단으로 로그인으로 시도했었다는 사실이 드러났다. 이와 관련, 업체는 고객들에게 진심으로 사과드리며 문제가 다시 발생하지 않도록 다짐하겠다고 밝혔다.

▲업체는 이번 해킹이 크리덴셜 스터핑 공격에 의해 발생했다고 밝혔다(사진=ⓒ123RF)

크리덴셜 스터핑 공격

업체는 이번 해킹이 크리덴셜 스터핑 공격에 의해 발생했다고 밝혔다.

크리덴셜 스터핑 공격이란 해커들이 탈취한 로그인 자격 증명을 다른 웹사이트 계정에 무차별로 대입해 침투하는 방식으로, 종종 봇을 사용해 사용자의 자격 증명에 사용된 조합을 검증한다.

만약 공격이 성공하면 신용 및 직불 카드 등의 민감한 정보들을 탈취해 다크웹에서 판매하거나 자신이 직접 사기에 활용한다.

이러한 정보 유출은 유니클로의 고객이 자신의 계정에 의심스러운 정황을 포착해 신고하면서 공개됐다.

유니클로측은 이에 즉각적으로 공격자들이 업체의 컴퓨터 시스템에 접속하지 못하도록 차단 조치를 취해 대응했다.

보안 업체 어택아이큐의 크리스 케네디 CISO 겸 고객 만족 부사장은 "악의적인 의도를 가진 제3자가 자격 증명을 통해 무단으로 접근, 46만 명의 사용자 데이터를 훔치기위해 회사 네트워크에 침투한 것은 놀라운 일"이라고 말했다.

그는 "유니클로가 그러한 데이터를 훔치지 못하도록 하기 위한 제어 장치를 갖추고 있었는지, 제어 장치를 시험해 본 적은 있었는지에 관한 의문이 생긴다"고 지적했다.

시퀀스의 제품 마케팅 보안 디렉터인 맷 케일은 "해커들이 일단 계정 정보에 접근하면, 계정을 넘겨받아 그 안에 저장되어 있는 정보들의 가치를 훔칠 수 있다"고 말했다.

유니클로 계정이 더 빠른 거래나 결제 플랫폼과의 연결성 강화를 위해 신용 카드 정보를 저장하고 있는 경우, 공격자는 그러한 접근을 통해 물품을 구매할 수 있다.

이는 곧 상품을 보다 효과적으로 훔칠 수 있어 유니클로와 사용자 모두에게 영향을 미칠 수 있다.

이같은 크리덴셜 스터핑 공격은 향후 더 큰 문제를 일으킬 수 있다.

실제 디스틸리서치랩이 600곳의 사이트 도메인 참여자들을 상대로 수행한 연구에 따르면, 도난당한 계정의 자격 증명이 노출된 후 사이트의 체적 공격은 300%더 증가한 것으로 나타났다.

디스틸 네트워크의 공동 설립자인 라미 에사이드는 "유니클로에서 발생한 것과 같은 데이터 침해는 해커들이 탈취한 엄청난 수의 암호 목록을 따라 이동하면서 사이트의 로그인 화면에서 엄청난 봇 트래픽 증가를 유발할 수 있다"고 설명했다.

이어 "이러한 사례는 종종 암호를 가지고 있는 개인들의 문제로 치부되기 마련이지만 사실 사용자 로그인 웹페이지가 있는 모든 온라인 비즈니스는 이러한 공격 위험에 처할 수 있다"고 덧붙였다.

▲해커들은 공격이 성공하면 민감한 정보들을 탈취해 다크웹에서 판매하거나 사기에 이용한다

 

고객 보안 조치

패스트 리테일링은 이번 사건과 관련해 GU 재팬과 유니클로 온라인 스토어 웹사이트를 이용하는 고객들에게 개인 정보 보호를 위해 필요한 예방 조치를 취할 것을 권고했다.

일단 크리덴셜 스터핑 공격으로 발생한 것인만큼, 가장 최우선으로 고객들이 자신만이 알 수 있는 비밀번호를 설정하고 이를 다른 계정과 혼용해서 사용하지 말아야한다는 것이다.

각각 사이트에 서로 다른 비밀번호를 유지하는 것이 가장 안전할 수 있다는 설명이다.

[라이헨바흐=허서윤 기자]