세계적으로 보안에 대한 중요성이 커지고 있지만 여전히 해커들에 의한 개인정보 유출 사고는 현재 진행형이다.
국내에서도 금융사들을 비롯해 통신사와 인터넷 사이트에 대한 해커들의 공격이 끊이질 않고 있다. 대규모 고객 정보 유출로 대부분 국민들의 정보가 어디에선가 불법적인 방법으로 유통되고 있는 실정이다. 특히 애슐리 매디슨 해킹 사건은 이용자들을 곤혹스럽게까지 만든 사고로 기록됐다.
이에 씨넷재팬이 전세계에서 발생한 15건의 개인정보 유출 사고를 정리해 발표했다.
■애슐리 매디슨(2015년)
모든 데이터 유출은 무서운 것이지만 여기에 더해 비참함까지 더한 해킹 사고가 있었다. 바로 가장 부끄러운 데이터 유출로 기록된 애슐리 매디슨의 기술 유출 사건이 올해 가장 큰 파장을 일으킨 해킹 사고로 기록됐다.
더 임팩트 팀이라고 칭하는 그룹은 3천700만 명의 기록을 애슐리 매디슨에서 훔쳤다. 기록을 삭제해 달라고 고객이 돈을 지불한 경우도 많았던 이 사건은 회사가 보유하고 있던 거의 모든 데이터가 해킹으로 털렸다.
더 큰 충격은 데이터에 포함된 기록을 분석한 결과 사이트 여성 계정은 대부분이 가짜였고, 회사는 여성의 채팅봇을 사용해 남성을 속여 요금을 받고 있던 것으로 드러났다.
■리빙소셜(2013년)
2013년에는 쿠폰 공동 구매 사이트 리빙소셜이 해킹 피해를 당했다. 해커들은 네트워크 침해로 리빙소셜 5천만 회원의 이름, 이메일 주소, 생일, 암호화 된 패스워드를 훔쳐 큰 피해를 끼쳤다. 리빙소셜은 국내 소셜커머스인 ‘티켓몬스터’를 인수했던 회사로, 경영난을 겪으면서 그루폰에 티몬을 매각했다.
■소니컴퓨터엔터테인먼트(2011년)
2011년 ‘게임 오버’로 기록될 뻔한 사고가 일본에서 있었다. 2011년 4월 해커들은 소니의 플레이스테이션 네트워크(PSN) 서비스를 공격해 7천700만 명 이상의 게임 이용자의 개인 신상 정보를 훔쳤다. 소니는 해킹 피해 사실을 늦게 알린 것뿐 아니라 고객 데이터를 암호화 하지 않고 저장하고 있던 사실이 드러나 더 큰 비판을 받았다. 결국 소니는 PSN을 23일간 서비스를 중단하기도 했다.
■미국 국세청(2015년)
사기꾼 해커들은 올해 미국 정부의 국세청(IRS)의 웹 사이트를 간단한 수법으로 해킹하고 미 재무부로부터 5천만 달러를 가로채 충격을 안겼다. 첫 번째 데이터 해킹으로 얻은 정보는 미국인의 ID를 훔치고 IRD 웹 사이트에서 과거의 환급 기록을 신청하기 위해 사용됐다.
범인들은 변조된 데이터를 사용해 새로운 세금 환급을 신청하고 거액의 환불을 요구했다. 이 해킹은 IRS가 기록 신청 서비스를 중지하기 전 기록이 털린 약 33만4천 명의 사람들에게 큰 고통을 안겼다.
■타깃(2013년)
2013년 해커들은 미국 거대 소매 기업인 ‘타깃’의 POS 컴퓨터 네트워크에 악성 코드를 설치하고 7천만 명이 넘는 고객 기록을 훔쳤다. 도난당한 데이터는 결제 카드 번호, 유효 기간, CVV 코드가 포함돼 있었다. 타깃 측은 피해를 당한 고객에게 향후 쇼핑 시 10% 할인 혜택 등을 제공했지만 해킹 후 회사 매출은 침체의 늪에 빠졌다.
■앤섬(2015년)
미국 2위 영리 의료 보험 회사인 앤섬(Anthem)은 올 2월 암호화 되지 않은 고객의 기록 7천880만건이 범죄자로부터 절취 당했다는 발표를 했다. 성명, 주민등록번호, 이메일 주소, 소득 자료가 도난당한 것. 금융이나 의료에 관한 기록이 영향을 받지 않았던 것은 불행 중 다행이었다.
■어도비(2013년)
어도비는 2013년 10월 해커가 3천800만 명 활성 고객의 ID 및 비밀번호를 훔쳐갔다고 발표했다. 이에 회사는 암호 재설정을 요구하는 경고를 보내야했다. 몇 주 후 회사는 더욱 큰 문제를 겪었다. 인기 소프트웨어인 어도비 포토샵 소스 코드도 유출이 됐기 때문이다.
■이베이(2014년)
온라인 경매 사이트 이베이는 지난해 미국 역사상 최대 규모의 해킹 피해를 당했다. 1억4천500만 건의 로그인 정보를 해커에게 도난당한 것이다. 해커는 이베이 내부용 기업 계정을 사용해 이름, 이메일 주소, 주소, 전화 번호, 생일을 탈취했으나 다행히 비밀번호는 암호화된 상태로 저장돼 있었던 것으로 알려졌다.
■홈 디폿(2014년)
홈 디폿(Home Depot)은 작년 9월 해커들의 표적이 돼 바이러스 백신을 회피하는 악성 코드를 셀프 체크아웃 용 레지스터에 설치된 것을 인정했다. 이 공격으로 고객의 결제 카드의 데이터 약 5천600만 세트가 도난당했다. 이 사건으로 회사의 손실은 모든 소송이 종료될 때 10억 달러를 초과할 전망이다. 이 중 보험으로 커버되는 비용은 불과 1억 달러다.
■JP 모건(2014년)
JP 모건 체이스는 지난해 9월 해킹 공격을 받았다. 미국 최대 은행조차 데이터 도난에 취약하다는 사실이 입증된 셈이다. 온라인 뱅킹 로그인 정보가 도난당하지 않았지만 범인들은 고객에 대한 7천700만 세트의 이름, 이메일 주소, 주소, 전화번호를 가져갔다. 이는 러시아 해커 집단이 공격한 것으로 추정되고 있다.
■PNI 디지털(2015년)
온라인 사진 인화를 다루는 PNI 디지털 미디어는 올해 고객 데이터(알 수 없는 숫자)를 해커에 도난당했다. 회사는 CVS, 코스트코 등 전국적으로 전개하는 다수의 소매 체인과 제휴해 온라인 사진 인화 주문을 받고 있다. 지난해 작업이 1천800만 건을 넘는 것을 감안할 때 1천만 단위의 미국인의 정부가 유출됐을 것으로 추정된다.
■하트랜드(2008년)
신용카드와 직불카드의 처리를 담당하는 하트랜드 페이먼트 시스템은 2008년 미국 역사상 최대 데이터 침해의 피해자가 됐다. 1억3천만 건의 계정을 해커가 가져간 것. 하트랜드에서 데이터 절취에 관련한 범인들은 2005년에 일어난 TJX 컴퍼니 해킹에도 관여한 것으로 밝혀졌다. 당시 사건은 9천400만 건의 데이터에 영향을 미쳤다.
■TJX 컴퍼니(2005년)
2005년 한 해커 집단은 ‘부자가 되거나 죽을 때까지 열심히 작전을 펼친다’는 슬로건을 내걸로 미국 소매 업체 ‘마샬’(Marshalls) 매장의 취약한 와이파이 네트워크를 이용해 모회사인 TJX 컴퍼니의 컴퓨터 시스템이 침입했다. 그들은 결제 카드의 데이터를 포함해 9천400만 건의 고객 데이터를 훔쳤다. 해킹의 주모자인 알버트 곤잘레스는 미국 캔자스 주 리븐 워스 교도소에서 20년의 징역을 선고 받았다.
■미 인사 관리국(2015년)
올해 미국 정부의 인사 관리국은 정부의 신원 조사를 받은 사람과 연방 정부의 구인에 응모한 사람에 관한 2천150만 건의 기록을 해커들이 가져갔음을 인정했다. 해커들은 대량의 기밀 정보를 훔쳤는데 여기에는 비밀 요원에 대한 신원 조회 정보와 지문 데이터도 포함된 것으로 알려졌다. 워싱턴 포스트는 이 공격을 중국에서 한 것으로 보인다고 보도했다.
관련기사
- "2015년 랜섬웨어-POS 겨냥 공격 거셌다"2015.12.20
- 장난감업체 브이텍, 개인정보 500만건 유출2015.12.20
- 어나니머스의 IS 공격, 왜 성과 못냈나2015.12.20
- 어나니머스 "IS 테러설, 유포한 적 없다"2015.12.20
■자포스(2012년)
2012년 1월 온라인 신발 판매를 하는 자포스(Zappos)는 사이버 범죄자가 2천400만 명의 고객 데이터를 훔쳐갔다고 발표했다. 여기에는 이름, 주소, 결제 카드의 마지막 4자리가 포함돼 있었다. 발표 후 고객의 전화가 쇄도하고 전화 시스템에 과부하가 걸리는 것을 방지하기 위해 자포스는 전화선을 차단하지 않을 수 없었다.