Skip to main content
QUICK REVIEW

[논문 리뷰] Breaking the Target: An Analysis of Target Data Breach and Lessons Learned

Xiaokui Shu, Ke Tian|arXiv (Cornell University)|2017. 01. 18.
Advanced Malware Detection Techniques참고 문헌 4인용 수 44
한 줄 요약

이 논문은 2013년 타겟 데이터 유출 사건에 대한 기술적이고 법적 분석을 제공한다. 이 사건은 4000만 개의 신용카드 번호와 7000만 건의 개인 정보를 유출시켰다. 논문은 블랙포즈 악성코드를 분석하고, 경고 처리 및 네트워크 세그먼테이션에서의 체계적 실패를 검토하며, 신용카드 보안을 향상시키기 위해 EMV 및 토큰화를 권고하면서 세 가지 보안 지침—결제 시스템의 무결성 확보, 효과적인 경고 설계, 네트워크 세그먼테이션 구현—을 제안한다.

ABSTRACT

This paper investigates and examines the events leading up to the second most devastating data breach in history: the attack on the Target Corporation. It includes a thorough step-by-step analysis of this attack and a comprehensive anatomy of the malware named BlackPOS. Also, this paper provides insight into the legal aspect of cybercrimes, along with a prosecution and sentence example of the well-known TJX case. Furthermore, we point out an urgent need for improving security mechanisms in existing systems of merchants and propose three security guidelines and defenses. Credit card security is discussed at the end of the paper with several best practices given to customers to hide their card information in purchase transactions.

연구 동기 및 목표

  • 2013년 타겟 데이터 유출 사건의 기술적 및 절차적 실패 원인을 분석하여, 역사상 가장 큰 해킹 사건 중 하나로 간주되는 이유를 규명한다.
  • 블랙포즈 악성코드의 설계, 회피 기법, 그리고 데이터 유출 메커니즘을 분석한다.
  • 타이저 제이에스(TJX) 유출 사건을 법적 사례로 삼아 사이버 범죄 수사 및 기소 과정에서의 과제를 평가한다.
  • 소매업자가 포인트온세일스(POS) 시스템을 강화할 수 있도록 실질적이고 근거 기반의 보안 지침을 제안한다.
  • 현재 사용 중인 신용카드 보안 기술, 예를 들어 EMV와 토큰화의 성능을 평가하고 소비자에게 최선의 실천 방법을 제시한다.

제안 방법

  • 2013년 11월의 공개 보고서와 사고 로그를 기반으로 타임라인 기반의 유출 사건 재구성 작업을 수행했다.
  • 블랙포즈 악성코드의 역공학 및 행동 분석을 통해 도청 회피 및 데이터 유출 방식을 이해했다.
  • 기존 보안 도구(예: 파이어아이(FireEye))의 효과성을 평가하고, 잘못된 설정과 경고 피로 현상이 주요 실패 요인임을 규명했다.
  • 세 가지 보안 지침을 제안했다: 결제 시스템의 무결성 강화, 효과적인 경고 시스템 설계, 적절한 네트워크 세그먼테이션 적용.
  • EMV 및 토큰화 기술을 검토하여, 카드 현장 및 비현장 사기 방지를 위한 강점과 한계를 분석했다.
  • 소비자 수준의 최선의 실천 방법을 제시하였으며, PayPal, 애플페이 등을 통한 일회성 토큰 사용 및 은행에서 제공하는 가상 신용카드 번호 활용을 포함한다.

실험 결과

연구 질문

  • RQ1해커들은 어떻게 타겟의 네트워크에 초도 접근을 확보하였으며, 수주 동안 감지되지 않은 채로 존재할 수 있었는가?
  • RQ2블랙포즈 악성코드가 어떻게 감지 회피 기능과 효율적인 데이터 유출 메커니즘을 갖추었는가?
  • RQ3파이어아이(FireEye)와 같은 기존 보안 도구가 설치되어 있음에도 불구하고 왜 이 유출 사고를 방지하지 못했는가?
  • RQ4대규모 해킹 사건에서 사이버 범죄자의 기소를 저지르는 데 있어 법적 및 수사적 과제는 무엇인가?
  • RQ5현재 사용 중인 신용카드 보안 기술, 예를 들어 EMV와 토큰화가 데이터 유출 위험을 얼마나 효과적으로 줄이는가?

주요 결과

  • 유출 사고는 제3자 벤더인 파지오 메커니컬 서비스(Fazio Mechanical Services)의 해킹을 통해 발생하였으며, 이는 타겟 네트워크에 대한 초도 접근을 가능하게 하였다.
  • 블랙포즈 악성코드는 보안 도구를 비활성화하고 데이터를 소규모 암호화 블록으로 나누어 전송함으로써 감지 회피를 위해 특별히 설계되었다.
  • 파이어아이(FireEye)와 시만텍(Symantec)의 다수 경고가 무시되거나 잘못 설정되어 있어, 보안 모니터링 및 대응 체계의 체계적 실패를 보여주었다.
  • 네트워크 세그먼테이션의 부실함으로 인해, 초도 접근 지점에서 결제 시스템까지의 횡단 이동이 가능해졌다.
  • EMV 기술은 대면 거래 보안을 향상시키지만, 비밀번호 없이도 공격이 가능한 '노핀(No-PIN)' 공격과 단말기 조작 공격에 취약하다.
  • 토큰화 기술은 실제 카드 번호를 일회성, 판매자별 고유 토큰으로 대체함으로써 유출 위험을 크게 줄이며, 특히 페이팔이나 애플페이와 같은 서비스를 통해 사용할 경우 효과적이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.