티스토리 뷰

작년 8월 미국 법무부는 사상 최악의 신용카드 해킹범죄를 적발했다. WarDriving이라는 기법으로 4천 1백만개 신용카드와 직불카드 정보를 해킹한 일당이 잡히면서 경각심을 불러일으켰다.

2008/08/07 - 워드라이빙(WarDriving)과 해킹

당시 4천 1백만개의 신용카드 정보를 빼내서 해외에 팔거나 위조하여 현금을 인출하는 등의 범죄행위가 드러났는데, 이들은 미국시민권자와 우크라이나인, 중국인, 벨로루시인 등 국제적인 해킹 범죄조직에 의한 것이라고 밝혀졌었다.

이들을 기소한 미국 연방 검찰은 이들의 여죄를 밝히는 과정에서 추가적으로 1억 3천만개의 신용카드 직불카드 해킹이 있었다고 월요일 밝혔다. 4천 1백만개의 카드 정보 유출 소식에 이어 이의 3배가 넘는 어마어마한 카드 정보가 유출되었다는 사실을 또 다시 밝혀냈다.

Kismet - Wardriving
Kismet - Wardriving by Andreas Potzlow 저작자 표시비영리

28세의 미국 마이애미에서 거주하고 있는 앨버트 곤잘레스가 이번 사건의 주범인데, 그는 한때 미국 재무부에서 금융 해커를 체포할때 정보 제공자로 일한 경력도 있는 사람이다. 그 전에 해킹혐의로 체포되었지만 해커검거에 협조한다는 조건으로 풀려났다가 또 다시 범죄를 저질렀다.

이번에 밝혀진 신용카드 및 직불카드 정보는 편의점 체인인 세븐일레븐과 슈퍼마켓 체인인 한나포드 브라더스, 카드 결제사인 허트랜드 페이먼트 시스템 등에서 유출되었다.

용의자 곤잘레스는 공범들인 두명의 러시아인들과 함께 보안이 취약한 이들 기업의 전산망에 멀웨어를 설치하여, 백도어를 만들고 이를 통해 네트워크에 접속하여 카드 정보를 빼낸 것으로 밝혀졌다. 여기에 사용된 해킹 기법은 SQL Injection으로, 이를 이용하여 카드 정보 DB를 해킹한 것으로 보인다.

이렇게 빼낸 카드 정보들을 미국 캘리포니아와 일리노이스, 라트비아, 우크라이나에 있는 서버에 각각 보관하고 있었으며, 이를 판매한 혐의를 받고 있다. 일부는 빼낸 정보를 통해 카드 위조를 하여 현금을 인출한 것으로 알려지고 있다.

이번 기소 사실이 모두 인정되면 곤잘레스는 20년형을 피할 수 없게 되었다. 또한 기존의 모든 혐의가 함께 인정되면 종신형을 선고받을 수도 있게 된다.

이번 해킹 사건의 경우 보안이 허술한 슈퍼마켓 또는 편의점, 레스토랑 체인 등의 전산망에 접속하여 비교적 쉽게 고객의 신용카드 및 직불카드 정보를 빼낼 수 있었다는 점에서 교훈을 얻어야 한다.

용의자 곤잘레스 일당은 워드라이빙이나 멀웨어 주입후 백도어를 통한 네트워크 침입이라는 일반적인 해킹 방법으로 쉽게 이들 업체의 시스템에 접근할 수 있었다. 알려진 보안 취약점에 대한 업데이트가 늦거나 관리가 부실한 업체들을 타겟으로 삼았으며, 이들 업체를 통해 고객의 신용정보가 다량으로 유출되었다.

특히 체인점 같은 경우 본사의 고객정보를 관리하는 서버에 접근할 수 있는 권한이 있기 때문에 보안에 취약한 체인점의 PC를 해킹하여 본사 DB에 접근하고 쉽게 정보를 빼낼 수 있다. 편의점 체인도 그렇고, 슈퍼마켓 체인도 그렇다.

보안은 아무리 강조해도 지나치지 않다.

반응형
댓글