CU 편의점 택배 BGF네트웍스 해킹, 고객 개인정보 무더기 유출...웹 취약점 뚫려 연계정보(CI)까지 노출, 크리덴셜 스터핑 2차 피해 우려
CU 택배 BGF네트웍스가 해킹당해 이름·연락처·CI 등 고객정보가 유출됐다.
[한국정보기술신문] 편의점 CU의 택배 서비스 'CU POST'를 운영하는 BGF네트웍스가 외부 해킹 공격을 받아 고객 개인정보가 대거 유출되는 사고가 발생했다. 쿠팡과 티빙 등 주요 플랫폼에서 개인정보 유출이 잇따른 가운데, 전 국민이 일상적으로 이용하는 생활 밀착형 택배망마저 뚫리면서 이용자들의 불안이 커지고 있다.
BGF네트웍스는 지난 4일 오후 3시 30분경 신원 미상의 공격자가 내부 시스템에 비인가 접근해 고객 개인정보를 탈취한 정황을 인지했으며, 이를 5일 CU POST 공식 홈페이지를 통해 공지했다고 밝혔다. 회사는 6일 오전 온라인 회원들에게 사고 경위와 사과 내용을 담은 안내 메일도 발송했다.
웹 취약점 노린 외부 공격으로 시스템 침해
이번 사고는 BGF네트웍스가 운영하는 시스템에 노출된 웹 취약점을 공격자가 악용하면서 발생한 것으로 파악됐다. 공격자는 이 취약점을 통해 전산망에 접근한 뒤 고객 정보를 빼낸 것으로 알려졌다.
유출된 정보는 온라인 회원 고객에 관한 정보에 한정되며, 고객이 택배 발송 시 입력한 수하인 등 제3자의 정보는 포함되지 않은 것으로 전해졌다. 다만 유출된 고객 수와 정확한 규모는 아직 집계되지 않았다. 회사 관계자는 "고객 정보가 유출된 시점은 현재 조사 중이며, 다음 주 중으로 구체적인 사고 경위와 유출 범위 등 추가 조사 결과를 발표할 예정"이라고 말한 것으로 알려졌다.
비밀번호·CI 등 인증·연계정보까지 노출
탈취된 정보 항목에는 △아이디(ID) △이름 △생년월일 △성별 △주소 △이메일주소 △휴대전화번호 등 기본 정보가 포함됐다. 여기에 단방향 암호화 방식으로 처리된 비밀번호와 함께 개인을 식별할 수 있는 연계정보(CI)까지 유출된 것으로 확인됐다.
CI는 주민등록번호를 대체해 여러 온라인 서비스에서 동일인 여부를 확인하는 데 쓰이는 온라인 식별값이다. 비밀번호가 단방향으로 암호화돼 원문 복원이 어렵다고는 하나, 식별이 가능한 CI가 빠져나간 점이 이번 사고의 위험 요소로 지목된다.
"크리덴셜 스터핑" 등 2차 피해 우려
보안 전문가들은 이번 유출이 앞서 발생한 티빙(TVING) 유출과 마찬가지로 탈취 항목에 암호화된 비밀번호와 CI가 함께 포함됐다는 점을 우려하고 있다. CI가 유출될 경우 다른 사이트의 로그인 정보와 결합해 공격하는 이른바 '크리덴셜 스터핑(Credential Stuffing)' 공격에 손쉽게 활용될 수 있기 때문이다.
크리덴셜 스터핑은 한 곳에서 유출된 아이디·비밀번호 조합을 다른 여러 사이트에 자동으로 대입해 계정을 탈취하는 수법이다. 여러 서비스에 동일한 비밀번호를 쓰는 이용자가 많은 만큼, 편의를 앞세운 B2C 서비스의 웹 인프라 관리 부실이 다른 플랫폼까지 위협하는 연쇄적 피해로 번질 수 있다는 지적이 나온다.
아울러 유출된 연락처 정보를 악용한 스팸 문자, 보이스피싱, 스미싱 등 2차 범죄 시도 가능성도 제기된다.
쿠팡·티빙 이어 택배망까지...잇따르는 B2C 해킹
이번 사고는 최근 국내 주요 B2C 플랫폼을 겨냥한 해킹이 잇따르는 흐름 속에서 발생했다. 앞서 쿠팡과 티빙 등 대형 온라인 서비스에서 개인정보 유출 사고가 연이어 불거진 데 이어, 생활 밀착형 택배 서비스로까지 보안 우려가 확산하는 양상이다. 이용 빈도가 높고 다양한 개인정보를 보유한 B2C 서비스가 공격자들의 표적이 되고 있다는 분석이다.
회사 "공격 IP 차단·관계기관 신고...비밀번호 변경 권장"
BGF네트웍스 측은 사고 인지 직후 공격 인터넷프로토콜(IP)을 차단하고 긴급 보안 조치를 시행했으며, 개인정보보호위원회(PIPC)와 한국인터넷진흥원(KISA) 등 관계기관에 신고를 마쳤다고 밝혔다. 또한 침해사고 대응팀을 즉각 가동해 24시간 실시간 모니터링을 진행 중이며, 시스템 이상 징후 모니터링을 강화하고 보안 정책을 정비했다고 덧붙였다.
회사 측은 안내문을 통해 "비밀번호는 암호화돼 안전하지만, 타 사이트와 동일한 비밀번호를 사용하는 경우 안전을 위해 비밀번호를 변경해 주시길 권장한다"며 "출처가 불분명한 전화나 문자메시지, URL 링크 클릭에 각별히 주의해 주시고, 당사를 사칭해 금융 정보 등을 요구하는 행위에 속지 않도록 유의해 달라"고 당부했다.
전문가들은 이용자 차원에서도 주요 사이트의 비밀번호를 서로 다르게 설정하고, 이중 인증(2단계 인증)을 적용하는 등 기본적인 보안 수칙을 지킬 것을 권고하고 있다.
한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org
