Checkout.com 해킹 공격 대응: 몸값 거부와 보안 연구 기부

 (checkout.com)
1P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • 결제 플랫폼 Checkout.com이 사이버 범죄 조직의 갈취 시도를 받았으나, 몸값 지불을 거부하고 대신 해당 금액을 사이버보안 연구에 기부
  • 공격자는 2020년 이전 사용된 레거시 제3자 클라우드 파일 저장 시스템에 무단 접근해 일부 데이터를 확보
  • Checkout.com은 결제 처리 플랫폼, 가맹점 자금, 카드 정보는 전혀 영향받지 않았다고 명시
  • 회사는 전체 가맹점의 25% 미만이 영향을 받을 수 있다고 추정하며, 법 집행기관 및 규제 당국과 협력
  • Carnegie Mellon UniversityUniversity of Oxford Cyber Security Center에 기부를 진행하며, 투명성과 신뢰를 산업의 핵심 가치로 재확인

사건 개요

  • Checkout.com은 지난주 “ShinyHunters”라는 범죄 조직으로부터 연락을 받았으며, 이들은 Checkout.com 관련 데이터를 입수했다 주장하며 몸값을 요구
  • 조사 결과, 공격자는 2020년 이전 사용된 제3자 클라우드 파일 저장 시스템에 무단 접근한 것으로 확인
    • 해당 시스템은 내부 운영 문서와 가맹점 온보딩 자료 저장용으로 사용
    • Checkout.com은 이 시스템이 적절히 폐기되지 않은 점을 실수로 인정
  • 회사는 이 사건이 결제 처리 플랫폼에는 영향을 미치지 않았으며, 공격자는 가맹점 자금이나 카드 번호에 접근하지 못했다고 명시

영향 및 대응 조치

  • Checkout.com은 현재 가맹점의 25% 미만이 영향을 받을 것으로 추정
  • 회사는 영향받은 가맹점 식별 및 개별 연락 절차를 진행 중이며, 법 집행기관 및 관련 규제 당국과 협력
  • Checkout.com은 투명성과 책임성을 강조하며, 파트너와 고객에게 신뢰 유지 의지를 표명

몸값 거부 및 기부 결정

  • Checkout.com은 범죄자에게 몸값을 지불하지 않겠다고 선언
  • 대신, 공격으로 요구된 금액을 Carnegie Mellon UniversityUniversity of Oxford Cyber Security Center사이버 범죄 연구 지원금으로 기부
  • 회사는 이번 사건을 산업 전반의 보안 투자 계기로 전환하겠다고 밝힘

기업의 입장과 약속

  • Checkout.com은 “보안, 투명성, 신뢰가 산업의 기반”이라며, 실수를 인정하고 가맹점을 보호하겠다고 언급
  • 회사는 디지털 경제를 위협하는 범죄 행위에 맞서 싸우는 데 투자하겠다고 강조
  • 가맹점은 기존 Checkout 연락 창구를 통해 지원 요청 가능

결론

  • Checkout.com은 이번 사건을 통해 사이버 갈취에 대한 단호한 대응 의지를 보였으며,
    보안 연구 기부를 통해 산업 전반의 방어력 강화를 도모
  • 회사는 투명한 공개와 책임 있는 조치를 통해 가맹점 신뢰 회복에 집중하고 있음
GN⁺ 4일전  [-]
Hacker News 의견

  • 몇 년 전 ShinyHunters 멤버들이 FBI에 체포된 적이 있었음
    나는 그중 한 명인 Sebastian Raoult와 같은 교도소에 있었고, 꽤 많은 대화를 나눴음
    이들이 대규모 피싱 공격을 위해 보여준 집요함은 놀라울 정도였음. 대부분의 접근 권한을 그렇게 얻었고, 그 외에는 GitHub에서 API 엔드포인트를 찾아 유출된 키를 탐색했음
    그는 GitHub의 자동 스캐너를 별로 좋아하지 않았음
    관련 기사: 미 법무부 보도자료

    • 일반적으로 사이버보안에서 인간이 가장 취약한 고리가 되는 경우가 많음
      그래서 이들이 사회공학으로 접근 권한을 얻었다는 게 놀랍지 않음
      흥미로운 점은, 이들 자신도 사회공학의 피해자일 수 있다는 것임. 온라인 게임용 익스플로잇을 만들어 어린 해커들을 유도하는 사람들은 결국 더 안전하게 돈을 버는 구조를 만들고 있음
    • 스포츠 스트리밍 사이트 운영으로 연방 교도소에 갔다니 안타까움
      혹시 불법 호스팅을 썼는지, 아니면 결제 제공업체를 통해 추적당했는지 궁금함
      사이트가 Sportsurge처럼 단순히 링크만 제공했는지, 실제 스트림을 호스팅했는지도 알고 싶음
    • GitHub 스캐너를 싫어했다는 게, 그 스캐너가 너무 효과적이라서 그들의 활동을 방해했기 때문인지, 아니면 무능하다고 생각해서 그런 건지 궁금함
    • “대규모 피싱을 위한 집요함이 놀랍다”는 말이 구체적으로 어떤 의미인지 설명을 듣고 싶음

  • 회사의 사과문 중

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    이 부분이 정말 마음에 들었음. LLM이나 PR팀이 썼다고 해도 진심이 느껴지는 문장이었음

    • 이런 사과문을 보면 항상 South Park의 BP 패러디 장면이 떠오름
      진짜 사과보다 중요한 건 근본 원인 분석과 재발 방지책임.
      고객 데이터를 다루는 구식 시스템이 얼마나 더 있었는지, 예산을 누가 막았는지 밝혀야 신뢰를 되찾을 수 있음
      진정한 사과는 말이 아니라 보상으로 보여야 함
    • “We are sorry.”라는 말은 기업이 거의 하지 않는 드문 표현이라 신선하게 느껴짐
    • “We are fully committed to maintaining your trust.” 대신 “rebuilding your trust”가 더 적절하다고 생각함
    • “우리는 범인을 체포로 이끄는 정보 제공자에게 50만 달러를 지급하겠다” 같은 강경한 대응이 오히려 신뢰를 줄 수도 있음
    • “due to an abundance of caution” 같은 진부한 표현이 없어서 좋았음. 전반적으로 모범적인 대응으로 보임

  • 내가 고객이라면 화가 났겠지만, 이번 대응은 가능한 한 최선의 형태였다고 생각함

    • 빠른 대응, 회사의 자발적 공개, 진심 어린 사과, 피해 범위 설명 등 대부분의 기준을 충족했음
    • 하지만 “우리가 미안하다”로 끝내면 업계는 더 큰 재앙을 맞게 될 것임
      법적 책임환불, 규제 강화가 병행되어야 함
    • “신속한 대응”이라지만, 해킹을 직접 발견하지 못했고, 공격자가 먼저 연락한 후에야 공개했으니 정말 신속했는지 의문
    • 고객 입장에서는 “데이터 유출 방지를 위해 몸값을 지불했다”는 선택이 더 나았을 수도 있음
      투명성을 위해 감사 결과와 포스트모템을 함께 공개했으면 좋겠음

  • 기부는 실질적 보안 개선보다는 보여주기식 행보로 느껴짐
    이미 알려진 보안 수칙을 지키는 게 더 중요함. 그 돈으로 보안 담당자 고용이나 시스템 강화에 투자했어야 함
    (참고: 해킹은 폐기되지 않은 레거시 시스템에서 발생했음)

    • 나는 이 기부를 범죄자에 대한 도발로 봄. “우린 돈이 있지만 너희에겐 안 준다”는 메시지임
      단순한 미덕 과시가 아니라 ‘몸값 요구에 굴하지 않는다’ 는 신호로 읽힘
    • 그래도 이런 상황에서 선한 신호를 보내는 것은 나쁘지 않음
      몸값을 지불했다면 오히려 더 많은 공격을 유도했을 것임
      돈을 잃더라도 가치 있는 방향으로 쓰는 선택이 현명함
    • 지금 시점에서는 차라리 미덕 과시가 악덕 과시보다 낫다고 생각함
    • ‘Virtue signaling’은 종종 위선적인 행동을 비판할 때 쓰이지만, 이번처럼 범죄자와 협상하지 않고 보안 연구를 지원하는 태도는 장기적으로 옳은 방향임
    • 그래도 고객 입장에서는 몸값을 지불하는 편이 피해를 줄이는 결과일 수도 있음.
      범죄자에게 자금을 주는 부작용은 있지만, 지불하지 않으면 고객이 더 큰 피해를 입을 가능성도 있음

  • “공격자는 서드파티 클라우드 스토리지 시스템을 통해 접근했다”는 표현이 약간 책임 회피처럼 느껴짐

    • 공격자들이 민감한 데이터까지 손에 넣었다면, 회사의 대응이 얼마나 달라졌을지 궁금함
    • 대부분의 회사 코드베이스는 여전히 레거시 기술로 가득함
      이런 사건이 터져도 일주일 정도 비웃음 받고 끝남. 결국 근본적인 변화는 거의 없음

  • 이런 공개적 대응과 기부는 용기 있는 결정이라고 생각함
    완벽한 보안은 불가능하고, 아직 포스트모템이 나오기 전이라 섣불리 비난하기 어렵음
    숨기지 않고 공개한 점과 학계 기부를 통한 공익적 접근은 높이 평가함

    • Hacker News에서는 냉소적인 태도가 일종의 지적 우월감처럼 여겨지는 경향이 있음

  • “내부 운영 문서와 가맹점 온보딩 자료에 사용된 시스템”이라는 문장을 보면, 아마도 KYC 과정에서 수집된 문서일 가능성이 높음
    즉, 회사 서류나 여권·신분증 스캔본 등이 포함되어 있을 수 있음
    이런 데이터는 신원 도용 위험이 크며, 몇 년간 유효할 수 있음

    • 하지만 여권 스캔본이 일반 KYB 문서와 함께 저장되었을 가능성은 낮음
      GDPR 이후로 이런 민감 데이터는 별도 보안 구역에 보관됨
      아마 단순히 온보딩 팀이 쓰던 PDF나 설문 문서 저장소였을 가능성이 큼

  • “25% 미만의 고객만 영향받았다” 해도, 내가 그 안에 포함됐다면 보상 없는 제스처로는 만족하기 어려움

  • “OXCIS”는 Oxford Centre for Islamic Studies를 뜻하므로, 그쪽은 아닌 듯함
    실제 기부처는 Oxford University의 Cyber Security 연구센터로 보임

  • 핀테크 업계에서 일했던 경험상, 이번에 유출된 건 가맹점 KYB 문서로 보임
    이는 사업자 리스크 평가용 자료로, 결제 정보나 PAN처럼 민감하지 않음
    물론 해킹은 나쁜 일이지만, 이런 데이터는 공개 정보인 경우도 많음
    회사가 이를 투명하게 공개한 점은 높이 평가함

    • 하지만 KYB 문서에는 종종 최종 소유주나 이사진의 여권, 세금 ID 등이 포함됨
      따라서 부유층 대상 신원 도용 위험도 존재함
답변달기