# Checkout.com 해킹 공격 대응: 몸값 거부와 보안 연구 기부 > Clean Markdown view of GeekNews topic #24353. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=24353](https://news.hada.io/topic?id=24353) - GeekNews Markdown: [https://news.hada.io/topic/24353.md](https://news.hada.io/topic/24353.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-11-14T09:46:18+09:00 - Updated: 2025-11-14T09:46:18+09:00 - Original source: [checkout.com](https://www.checkout.com/blog/protecting-our-merchants-standing-up-to-extortion) - Points: 1 - Comments: 1 ## Topic Body - 결제 플랫폼 **Checkout.com**이 사이버 범죄 조직의 **갈취 시도**를 받았으나, **몸값 지불을 거부**하고 대신 해당 금액을 **사이버보안 연구에 기부** - 공격자는 2020년 이전 사용된 **레거시 제3자 클라우드 파일 저장 시스템**에 무단 접근해 일부 데이터를 확보 - Checkout.com은 **결제 처리 플랫폼, 가맹점 자금, 카드 정보는 전혀 영향받지 않았다**고 명시 - 회사는 **전체 가맹점의 25% 미만**이 영향을 받을 수 있다고 추정하며, **법 집행기관 및 규제 당국과 협력** 중 - **Carnegie Mellon University**와 **University of Oxford Cyber Security Center**에 기부를 진행하며, **투명성과 신뢰를 산업의 핵심 가치**로 재확인 --- ### 사건 개요 - Checkout.com은 지난주 **“ShinyHunters”라는 범죄 조직**으로부터 연락을 받았으며, 이들은 Checkout.com 관련 데이터를 입수했다 주장하며 **몸값을 요구** - 조사 결과, 공격자는 **2020년 이전 사용된 제3자 클라우드 파일 저장 시스템**에 무단 접근한 것으로 확인 - 해당 시스템은 **내부 운영 문서와 가맹점 온보딩 자료** 저장용으로 사용 - Checkout.com은 이 시스템이 **적절히 폐기되지 않은 점을 실수로 인정** - 회사는 이 사건이 **결제 처리 플랫폼에는 영향을 미치지 않았으며**, 공격자는 **가맹점 자금이나 카드 번호에 접근하지 못했다**고 명시 ### 영향 및 대응 조치 - Checkout.com은 **현재 가맹점의 25% 미만**이 영향을 받을 것으로 추정 - 회사는 **영향받은 가맹점 식별 및 개별 연락 절차**를 진행 중이며, **법 집행기관 및 관련 규제 당국과 협력** - Checkout.com은 **투명성과 책임성**을 강조하며, 파트너와 고객에게 **신뢰 유지 의지**를 표명 ### 몸값 거부 및 기부 결정 - Checkout.com은 **범죄자에게 몸값을 지불하지 않겠다고 선언** - 대신, 공격으로 요구된 금액을 **Carnegie Mellon University**와 **University of Oxford Cyber Security Center**에 **사이버 범죄 연구 지원금으로 기부** - 회사는 이번 사건을 **산업 전반의 보안 투자 계기로 전환**하겠다고 밝힘 ### 기업의 입장과 약속 - Checkout.com은 “**보안, 투명성, 신뢰**가 산업의 기반”이라며, **실수를 인정하고 가맹점을 보호하겠다**고 언급 - 회사는 **디지털 경제를 위협하는 범죄 행위에 맞서 싸우는 데 투자**하겠다고 강조 - 가맹점은 **기존 Checkout 연락 창구를 통해 지원 요청 가능** ### 결론 - Checkout.com은 이번 사건을 통해 **사이버 갈취에 대한 단호한 대응 의지**를 보였으며, **보안 연구 기부를 통해 산업 전반의 방어력 강화를 도모** - 회사는 **투명한 공개와 책임 있는 조치**를 통해 **가맹점 신뢰 회복**에 집중하고 있음 ## Comments ### Comment 46308 - Author: neo - Created: 2025-11-14T09:46:18+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=45912698) - 몇 년 전 **ShinyHunters** 멤버들이 FBI에 체포된 적이 있었음 나는 그중 한 명인 Sebastian Raoult와 같은 교도소에 있었고, 꽤 많은 대화를 나눴음 이들이 대규모 **피싱 공격**을 위해 보여준 집요함은 놀라울 정도였음. 대부분의 접근 권한을 그렇게 얻었고, 그 외에는 GitHub에서 API 엔드포인트를 찾아 **유출된 키**를 탐색했음 그는 GitHub의 자동 스캐너를 별로 좋아하지 않았음 관련 기사: [미 법무부 보도자료](https://www.justice.gov/usao-wdwa/pr/member-notorious-international-hacking-crew-sentenced-prison) - 일반적으로 사이버보안에서 인간이 가장 **취약한 고리**가 되는 경우가 많음 그래서 이들이 사회공학으로 접근 권한을 얻었다는 게 놀랍지 않음 흥미로운 점은, 이들 자신도 사회공학의 피해자일 수 있다는 것임. 온라인 게임용 익스플로잇을 만들어 어린 해커들을 유도하는 사람들은 결국 더 안전하게 돈을 버는 구조를 만들고 있음 - 스포츠 스트리밍 사이트 운영으로 **연방 교도소**에 갔다니 안타까움 혹시 **불법 호스팅**을 썼는지, 아니면 결제 제공업체를 통해 추적당했는지 궁금함 사이트가 Sportsurge처럼 단순히 링크만 제공했는지, 실제 스트림을 호스팅했는지도 알고 싶음 - GitHub 스캐너를 싫어했다는 게, 그 스캐너가 너무 **효과적**이라서 그들의 활동을 방해했기 때문인지, 아니면 **무능하다고 생각**해서 그런 건지 궁금함 - “대규모 피싱을 위한 집요함이 놀랍다”는 말이 구체적으로 어떤 의미인지 설명을 듣고 싶음 - 회사의 사과문 중 > “We are sorry. We regret that this incident has caused worry for our partners and people...” 이 부분이 정말 마음에 들었음. LLM이나 PR팀이 썼다고 해도 **진심이 느껴지는 문장**이었음 - 이런 사과문을 보면 항상 **South Park의 BP 패러디 장면**이 떠오름 진짜 사과보다 중요한 건 **근본 원인 분석**과 재발 방지책임. 고객 데이터를 다루는 구식 시스템이 얼마나 더 있었는지, 예산을 누가 막았는지 밝혀야 신뢰를 되찾을 수 있음 진정한 사과는 말이 아니라 **보상**으로 보여야 함 - “We are sorry.”라는 말은 기업이 거의 하지 않는 **드문 표현**이라 신선하게 느껴짐 - “We are fully committed to maintaining your trust.” 대신 “**rebuilding your trust**”가 더 적절하다고 생각함 - “우리는 범인을 체포로 이끄는 정보 제공자에게 50만 달러를 지급하겠다” 같은 **강경한 대응**이 오히려 신뢰를 줄 수도 있음 - “due to an abundance of caution” 같은 진부한 표현이 없어서 좋았음. 전반적으로 **모범적인 대응**으로 보임 - 내가 고객이라면 화가 났겠지만, 이번 대응은 가능한 한 **최선의 형태**였다고 생각함 - 빠른 대응, 회사의 자발적 공개, **진심 어린 사과**, 피해 범위 설명 등 대부분의 기준을 충족했음 - 하지만 “우리가 미안하다”로 끝내면 업계는 더 큰 재앙을 맞게 될 것임 **법적 책임**과 **환불**, **규제 강화**가 병행되어야 함 - “신속한 대응”이라지만, 해킹을 직접 발견하지 못했고, 공격자가 먼저 연락한 후에야 공개했으니 **정말 신속했는지 의문**임 - 고객 입장에서는 “데이터 유출 방지를 위해 **몸값을 지불했다**”는 선택이 더 나았을 수도 있음 투명성을 위해 **감사 결과와 포스트모템**을 함께 공개했으면 좋겠음 - 기부는 **실질적 보안 개선**보다는 **보여주기식 행보**로 느껴짐 이미 알려진 보안 수칙을 지키는 게 더 중요함. 그 돈으로 **보안 담당자 고용**이나 시스템 강화에 투자했어야 함 (참고: 해킹은 폐기되지 않은 **레거시 시스템**에서 발생했음) - 나는 이 기부를 **범죄자에 대한 도발**로 봄. “우린 돈이 있지만 너희에겐 안 준다”는 메시지임 단순한 미덕 과시가 아니라 **‘몸값 요구에 굴하지 않는다’** 는 신호로 읽힘 - 그래도 이런 상황에서 **선한 신호를 보내는 것**은 나쁘지 않음 몸값을 지불했다면 오히려 더 많은 공격을 유도했을 것임 돈을 잃더라도 **가치 있는 방향으로 쓰는 선택**이 현명함 - 지금 시점에서는 차라리 **미덕 과시가 악덕 과시보다 낫다**고 생각함 - ‘Virtue signaling’은 종종 **위선적인 행동**을 비판할 때 쓰이지만, 이번처럼 **범죄자와 협상하지 않고 보안 연구를 지원하는 태도**는 장기적으로 옳은 방향임 - 그래도 고객 입장에서는 **몸값을 지불하는 편이 피해를 줄이는 결과**일 수도 있음. 범죄자에게 자금을 주는 부작용은 있지만, 지불하지 않으면 고객이 더 큰 피해를 입을 가능성도 있음 - “공격자는 **서드파티 클라우드 스토리지** 시스템을 통해 접근했다”는 표현이 약간 **책임 회피**처럼 느껴짐 - 공격자들이 민감한 데이터까지 손에 넣었다면, 회사의 대응이 얼마나 달라졌을지 궁금함 - 대부분의 회사 코드베이스는 여전히 **레거시 기술**로 가득함 이런 사건이 터져도 일주일 정도 비웃음 받고 끝남. 결국 **근본적인 변화는 거의 없음** - 이런 **공개적 대응과 기부**는 용기 있는 결정이라고 생각함 완벽한 보안은 불가능하고, 아직 **포스트모템**이 나오기 전이라 섣불리 비난하기 어렵음 숨기지 않고 공개한 점과 **학계 기부를 통한 공익적 접근**은 높이 평가함 - Hacker News에서는 **냉소적인 태도**가 일종의 지적 우월감처럼 여겨지는 경향이 있음 - “내부 운영 문서와 가맹점 온보딩 자료에 사용된 시스템”이라는 문장을 보면, 아마도 **KYC 과정에서 수집된 문서**일 가능성이 높음 즉, 회사 서류나 **여권·신분증 스캔본** 등이 포함되어 있을 수 있음 이런 데이터는 **신원 도용 위험**이 크며, 몇 년간 유효할 수 있음 - 하지만 여권 스캔본이 일반 KYB 문서와 함께 저장되었을 가능성은 낮음 GDPR 이후로 이런 **민감 데이터는 별도 보안 구역**에 보관됨 아마 단순히 온보딩 팀이 쓰던 **PDF나 설문 문서 저장소**였을 가능성이 큼 - “25% 미만의 고객만 영향받았다” 해도, 내가 그 안에 포함됐다면 **보상 없는 제스처**로는 만족하기 어려움 - “OXCIS”는 **Oxford Centre for Islamic Studies**를 뜻하므로, 그쪽은 아닌 듯함 실제 기부처는 **Oxford University의 Cyber Security 연구센터**로 보임 - [Cyber Security Oxford](https://www.cybersecurity.ox.ac.uk/)는 옥스퍼드 대학 산하의 **사이버보안 연구 커뮤니티**임 - 핀테크 업계에서 일했던 경험상, 이번에 유출된 건 **가맹점 KYB 문서**로 보임 이는 사업자 리스크 평가용 자료로, **결제 정보나 PAN**처럼 민감하지 않음 물론 해킹은 나쁜 일이지만, 이런 데이터는 **공개 정보**인 경우도 많음 회사가 이를 **투명하게 공개한 점**은 높이 평가함 - 하지만 KYB 문서에는 종종 **최종 소유주나 이사진의 여권, 세금 ID** 등이 포함됨 따라서 **부유층 대상 신원 도용** 위험도 존재함