국제민간항공기구(ICAO)가 화요일 “국제기구를 표적으로 삼는 위협 행위자와 관련된 것으로 추정되는 정보 보안 사고를 적극적으로 조사하고 있다”고 밝혔다. ICAO는 2016년 4월부터 2024년 7월까지 약 4만 2,000건의 채용 지원 데이터 기록이 도난당했다는 1차 결론을 내렸다.

ICAO는 초기 성명에서 “이번 사건은 채용 데이터베이스에 국한된 것으로, 항공 안전이나 보안 운영과 관련된 시스템에는 영향을 미치지 않았음을 확인했다”라고 밝혔다.

ICAO 관계자는 수요일, 익스체인지 온라인과 ICAO 커뮤니케이션 담당관 윌리엄 라일랑-클락과의 이메일에서 “ICAO는 해당 주장이 제기되자마자 조사를 시작했다”라고 설명했다.

그러나 SANS 연구소의 연구 책임자 요하네스 울리히는 보안 시스템이 직접적으로 영향을 받지 않더라도 공격자가 훔친 정보는 민감한 영역에 대한 액세스 권한을 가진 항공사 관계자를 사칭하는 데 사용될 수 있다고 경고했다.

울리히는 “공격자가 현재 통제하는 데이터를 어떻게 사용할지 모르기 때문에 매우 위험하다. 공격자가 확실한 입사 지원서 정보를 습득해 사칭한다면 신뢰할 수 있는 기관에 입사할 수 있다. 비행 데이터 등을 교환하는 백엔드 시스템에서 항공 운항을 방해할 위험이 있다”라고 말했다.

이번 사건이 항공 안전이나 보안에 영향을 미치지 않을 것이라고 어떻게 말할 수 있느냐는 질문에 라일랑-클락은 이번 사건의 영향을 받은 시스템은 ICAO의 항공 안전 또는 보안 업무와 어떤 식으로도 연결되지 않았고 관련도 없다고 말했다.

라일랑-클락은 “ICAO는 외부 당사자의 주장이나 기타 진술을 검증할 위치에 있지 않다”라고 말했다.

ICAO에 따르면 도난 당한 데이터를 공개한 것은 나토허브(Natohub)로 알려진 위협 행위자다.

보고서에 따르면 나토허브는 사이버 범죄 포럼이자 거래소인 브리치포럼(BreachForum)에서 데이터 도둑이 사용하는 가명으로 확인되었다.

ICAO는 더 구체적인 정보 없이 “시스템을 보호하기 위해 추가적인 보안 조치를 시행했다. 또한 영향을 받은 개인을 파악하여 통지하기 위해 노력하고 있다”라고만 밝혔다.

장기간에 걸쳐 도난당한 입사 데이터

ICAO의 초기 성명에 따르면 “유출된 데이터에는 이름, 이메일 주소, 생년월일, 고용 이력 등 지원자가 우리 시스템에 입력한 채용 관련 정보가 포함”되어 있다. 도난 데이터에 금융 정보, 비밀번호, 여권 정보 또는 지원자가 업로드한 서류는 포함되지 않는다고 알려졌다.

입사 지원 데이터베이스에는 방대한 양의 개인 식별 정보(PII)와 기타 민감한 정보가 포함되어 있기 때문에 공격자의 타깃이 되기 쉽고 여러 공격 사례가 있었다.

입사 지원 사이트를 강력한 보호 기능을 갖추지 못한 서드파티에 아웃소싱하는 기업이 많다는 점도 사이버보안 문제를 가중시킨다.

입사 지원 시스템의 취약점 하나는 지원자가 파일을 업로드할 수 있다는 점이다. 울리히는 “파일, 특히 PDF 업로드 허용은 시스템의 가장 위험한 요소”라며 공격자가 멀웨어를 업로드할 수 있다고 지적했다.

울리히는 “입사 지원 데이터베이스는 많은 정보를 담고 있기 때문에 항상 공격의 표적이 된다. 많은 기업이 실제로 필요한 것보다 더 많은 데이터를 수집한다”라고 지적했다.

생년월일이 도용되었다는 국제민간항공기구(ICAO)의 성명이 한 예다. 울리히는 “입사 지원 초기 단계부터 그런 중요한 정보가 필요한가?”라고 지적했다.

울리히는 “ICAO가 데이터가 유출되지 않았다는 강력한 증거를 보유했기를 바란다”라며 민감한 정보를 보호하는 최선의 전술은 가능한 한 많은 데이터를 암호화하고, 데이터를 공개 환경에서 폐쇄된 보안 환경으로 최대한 빨리 옮기는 자동화된 메커니즘을 구현하는 것이라고 덧붙였다.

울리히는 또한 ICAO 성명에서 유출되지 않았다고 명시한 부분에 대해서도 의문을 제기했다. 데이터 유출 보고서가 정기적으로 업데이트되고 확장된다는 점을 고려할 때, 처음에는 유출되지 않은 것 같은 항목을 언급하기보다는 유출이 확실한 데이터부터 명확히 밝히는 것이 훨씬 안전하다는 의견이다.

데이터 유출에 대처하려면 정교하고 숙련된 사이버보안 인력이 필요한데, 입사 지원 데이터를 다루는 아웃소싱 업체에서는 전문 인력을 찾아보기가 어렵다.

데이터가 8년 이상에 걸쳐 탈취됐다는 점을 고려하면, 저장 역시 광범위한 기간 동안 이루어졌을 가능성이 높다.

울리히는 공격자가 실제로 유엔 기구를 표적으로 삼은 것인지, 아니면 서드파티 입사 지원 회사의 플랫폼에 구멍을 발견하고 체계적으로 모든 고객을 노렸는지에 대해서도 의문을 제기했다. 또한 공격자가 “특정 공급업체가 만든 사이트를 공격했을 수도 있다”라고 말했다. ICAO를 표적으로 삼은 것이 아니라 특정 취약점이 있는 사이트를 노렸을 가능성이 매우 높다는 주장이다.
dl-itworldkorea@foundryco.com