2017.09.12

신용조사 기관 에퀴팍스, 웹사이트 취약점으로 1억 4,300만 명의 개인정보 유출

Steve Ragan | CSO
미국에서 가장 큰 신용조사기관 가운데 하나인 에퀴팍스(Equifax)는 최근 자사의 한 웹사이트에서 애플리케이션 취약점으로 인해 약 1억 4,300만 명의 개인정보 데이터를 유출했다고 밝혔다. 에퀴팍스는 이번 유출은 7월 29일에 발견됐지만, 5월 중순부터 유출됐을 가능성이 있다고 말했다.



사이버범죄자들은 특정 파일에 대한 접속 권한을 얻기 위해 미국 웹사이트 애플리케이션 취약점을 악용했다. 에퀴팍스 자체 조사 결과에 따르면, 무단 접속은 5월 중순부터 2017년 7월까지 발생했다. 에퀴팍스는 공식 성명에서 자사의 핵심 고객 또는 신용 보고서 데이터베이스에는 침입했다는 증거가 발견되지 않았다고 전했다.

이 성명서는 "사이버범죄자들은 사회보장번호(Social Security Numbers), 생년월일, 주소, 그리고 경우에 따라 운전면허증 번호를 포함한 기록에 접속했다"고 말했다.

"또한 20만 9,000명의 고객의 신용카드 정보가 유출됐다. 이번 데이터 유출 사고에는 약 18만 2,000명의 미국 소비자의 개인 식별 정보가 포함된 특정 분쟁 관련 서류가 포함되어 있다."

에퀴팍스는 "이 애플리케이션 취약점에 대한 조사의 일환으로 영국과 캐나다 거주자들의 개인정보에 대한 무단 접속을 확인했다. 이에 대해 영국과 캐나다 규제 당국과 협력해 적절한 다음 단계를 결정하기로 했다. 이밖에 다른 국가의 사용자들도 영향을 받았다"고 밝혔다.

에퀴팍스는 잠재적으로 영향을 받은 사람들을 위한 웹사이트(www.equifaxsecurity2017.com)를 개설해 모든 미국 소비자들에게 신용 모니터링 서비스를 제공한다. 에퀴팍스는 직접적으로 영향을 받은 이들에게 USPS(United States Postal Service)를 통해 추가 세부 정보를 제공한다는 계획이다.

에퀴팍스 회장이자 CEO 리차드 F. 스미스는 성명서에서 "이번 사건은 분명히 우리 회사의 실망스러운 사건이며 우리가 누구이며, 무엇을 하고 있는 지에 대한 근본을 흔들고 있다. 소비자들과 기업 고객들에게 우려와 실망을 안겨드린 것에 대해 사과한다"고 말했다.

에퀴팍스는 이번 사건 수사를 돕기 위해 포렌식 업체를 고용하는 한편, 이런 데이터 유출이 다시 발생하지 않도록 가이드를 제공한다.

스미스는 "전체 팀원들에게 이번 문제를 해결하지 않고는 앞으로 나아갈 수 없다. 사이버보안 위험은 항상 매일 직면하는 싸움이다. 지금까지 데이터 보안에 대한 막대한 투자를 했지만, 이 보다 더 많은 것을 했어야 했다. 이제 우리는 그렇게 할 것이다"고 덧붙였다. editor@itworld.co.kr  


2017.09.12

신용조사 기관 에퀴팍스, 웹사이트 취약점으로 1억 4,300만 명의 개인정보 유출

Steve Ragan | CSO
미국에서 가장 큰 신용조사기관 가운데 하나인 에퀴팍스(Equifax)는 최근 자사의 한 웹사이트에서 애플리케이션 취약점으로 인해 약 1억 4,300만 명의 개인정보 데이터를 유출했다고 밝혔다. 에퀴팍스는 이번 유출은 7월 29일에 발견됐지만, 5월 중순부터 유출됐을 가능성이 있다고 말했다.



사이버범죄자들은 특정 파일에 대한 접속 권한을 얻기 위해 미국 웹사이트 애플리케이션 취약점을 악용했다. 에퀴팍스 자체 조사 결과에 따르면, 무단 접속은 5월 중순부터 2017년 7월까지 발생했다. 에퀴팍스는 공식 성명에서 자사의 핵심 고객 또는 신용 보고서 데이터베이스에는 침입했다는 증거가 발견되지 않았다고 전했다.

이 성명서는 "사이버범죄자들은 사회보장번호(Social Security Numbers), 생년월일, 주소, 그리고 경우에 따라 운전면허증 번호를 포함한 기록에 접속했다"고 말했다.

"또한 20만 9,000명의 고객의 신용카드 정보가 유출됐다. 이번 데이터 유출 사고에는 약 18만 2,000명의 미국 소비자의 개인 식별 정보가 포함된 특정 분쟁 관련 서류가 포함되어 있다."

에퀴팍스는 "이 애플리케이션 취약점에 대한 조사의 일환으로 영국과 캐나다 거주자들의 개인정보에 대한 무단 접속을 확인했다. 이에 대해 영국과 캐나다 규제 당국과 협력해 적절한 다음 단계를 결정하기로 했다. 이밖에 다른 국가의 사용자들도 영향을 받았다"고 밝혔다.

에퀴팍스는 잠재적으로 영향을 받은 사람들을 위한 웹사이트(www.equifaxsecurity2017.com)를 개설해 모든 미국 소비자들에게 신용 모니터링 서비스를 제공한다. 에퀴팍스는 직접적으로 영향을 받은 이들에게 USPS(United States Postal Service)를 통해 추가 세부 정보를 제공한다는 계획이다.

에퀴팍스 회장이자 CEO 리차드 F. 스미스는 성명서에서 "이번 사건은 분명히 우리 회사의 실망스러운 사건이며 우리가 누구이며, 무엇을 하고 있는 지에 대한 근본을 흔들고 있다. 소비자들과 기업 고객들에게 우려와 실망을 안겨드린 것에 대해 사과한다"고 말했다.

에퀴팍스는 이번 사건 수사를 돕기 위해 포렌식 업체를 고용하는 한편, 이런 데이터 유출이 다시 발생하지 않도록 가이드를 제공한다.

스미스는 "전체 팀원들에게 이번 문제를 해결하지 않고는 앞으로 나아갈 수 없다. 사이버보안 위험은 항상 매일 직면하는 싸움이다. 지금까지 데이터 보안에 대한 막대한 투자를 했지만, 이 보다 더 많은 것을 했어야 했다. 이제 우리는 그렇게 할 것이다"고 덧붙였다. editor@itworld.co.kr  


X