미국 내 윈덤 데스티네이션(Wyndham Destinations) 적어도 3개 호텔에서 체크인 컴퓨터에 스파이웨어가 탐지됐다는 보도가 나왔다.
윈덤 데스티네이션 호텔 체크인 시스템에서 발견된 스파이웨어는 pcTattletale이라고 불리는 것. pcTattletale은 지속적으로 투숙객 고객 정보가 포함된 예약 시스템 스크린샷을 찍고 있었던 것으로 드러났다. 더구나 pcTattletale에는 보안 취약점이 존재해 촬영한 스크린샷을 공격자 뿐 아니라 인터넷상 모든 사용자가 접근할 수 있게 되어 있었다. 이번 사건은 pcTattletale 자체 보안 취약점으로 인해 기밀 정보를 의도치 않게 유출한 최신 사례다. pcTattletale은 과거에도 설치된 기기에서 찍은 스크린샷을 유출한 적이 있다. 보도에선 최근 스파이웨어는 보안 버그나 잘못된 설정으로 인해 기기 소유자 모르게 기밀 정보를 유출하는 사례가 있었다고 지적하고 있다.
pcTattletale은 설치된 안드로이드나 윈도 기기 데이터를 전 세계 어디서든 원격으로 볼 수 있는 스파이웨어다. pcTattletale 개발사는 pcTattletale은 작업 스테이션 백그라운드에서 눈에 띄지 않게 실행되므로 사용자가 탐지할 수 없다고 설명한다. 하지만 pcTattletale에 존재하는 보안 버그 탓에 버그 작동 원리를 아는 사람이라면 누구나 pcTattletale 서버에서 직접 촬영된 스크린샷을 다운로드할 수 있다.
pcTattletale이 윈덤 데스티네이션 호텔 체크인 시스템에 설치되어 있었던 걸 발견한 이는 한 보안 연구원. 그는 이 문제에 대해 pcTattletale에 경고하려 했지만 개발사는 이 경고에 응하지 않았고 지금도 버그는 여전히 수정되지 않은 상태라고 한다. 연구원은 자신의 블로그에서 pcTattletale에 존재하는 버그를 지적하고 있지만 pcTattletale 개발사가 버그 수정을 하지 않고 버그 세부 사항을 공개하지 않고 있다. 이는 악의적인 행위자가 버그를 악용하는 걸 방지하기 위한 조치다.
연구원에 따르면 pcTattletale은 정기적으로 또는 수 초마다 앱이 실행 중인 기기 스크린샷을 촬영한다. 보도에선 연구원으로부터 제공받아 pcTattletale 서버에서 유출된 스크린샷을 확인했는데 이는 항공·철도·호텔 등에서 사용되는 컴퓨터 예약 시스템을 제공하는 SABRE 웹포털에 있는 투숙객명과 예약 세부 정보가 표시된 페이지였다고 한다. 이 페이지에는 투숙객이 결제에 사용한 신용카드 번호 일부도 표시되어 있었던 것으로 보인다. 또 호텔 예약 사이트 부킹닷컴(Booking.com) 관리 포털에 로그인한 상태 스크린샷도 확인했다고 한다.
윈덤 데스티네이션 체크인 시스템에 pcTattletale을 설치한 게 누구이며 어떤 방식으로 설치했는지는 전혀 알려지지 않았다. 가능성 있는 시나리오로 호텔 직원이 누군가에게 속아 스파이웨어를 설치하게 됐을 수 있다는 것과 호텔 오너가 직원 행동을 감시하기 위해 설치했을 수 있다는 2가지를 제시하고 있다.
한편 pcTattletale이 설치되어 있던 호텔 매니저 중 1명은 시스템에 pcTattletale이 설치되어 있었던 사실을 전혀 몰랐다고 설명했다. 윈덤 데스티네이션 측은 자사는 프랜차이즈 조직이며 미국 내 호텔은 모두 독립적으로 소유되고 운영된다고만 설명했다.
부킹닷컴 측은 불행하게도 자사 숙박 시설 파트너 일부는 매우 설득력 있는 고급 피싱 전술로부터 표적이 됐다며 자사 시스템 외부에서 링크를 클릭하거나 첨부 파일을 다운로드하라고 유도해 멀웨어를 단말기에 설치하게 되고 경우에 따라선 부킹닷컴 계정에 불법 접근이 이뤄지기도 한다며 이런 악의적 행위자는 설득력 있는 방식으로 파트너사나 부킹닷컴을 사칭하고 예약 확인 정책을 어기며 고객에게 지불을 요구한다고 밝혀 부킹닷컴을 이용하는 호텔이 사이버 공격 대상이 되고 있다는 걸 인정했다. 하지만 pcTattletale이 이 공격과 관련이 있는지 여부는 불분명하며 부킹닷컴 측도 계속 조사 중이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.