10위 미국 국세청(U.S. Internal Revenue Service) - 유출된 개인 정보 수: 약 33만 4,000
IRS(Internal Revenue Service) 사이트에서 10만 명의 세금 정보를 도난 당한 이 사고는 기술적으로 해킹이 아니다.
이는 취약한 보안의 대표적인 사례로, 범죄자들은 IRS 세무 기록 사본 얻기(Get Transcript) 서비스에 보안 질문에 정확히 대답함으로써 침투했다. 사이버범죄자들이 사용한 보안 질문의 답은 어디서나 획득할 수 있거나 간단히 추정할 수 있는 피해자들의 개인 정보들이었다.
미국 국세청 개인 정보 유출 사고는 2015년 2월부터 5월 중순까지 발생했는데, 5얼 26일 IRS에 의해 공공리에 공개됐다. 러시아에 주거하는 것으로 추정되는 이 범죄자의 목적은 아마도 훔친 개인 데이터(개인 생년월일, 사회보장번호, 집주소)를 사용해 세금 환급 사기(refund fraud)를 저지르려는 것이었다.
조사가 좀더 진행된 8월 17일, IRS는 피해자의 수를 10만에서 33만 4,000명으로 변경했다. 관련 기사는 다음을 클릭.
9위 패트레온(Patreon) - 유출된 개인 정보 수: 230만
크라우드펀딩 사이트인 패트레온은 일반인들이 예술가들의 창작 프로젝트를 지원하게 해 예술가들의 창작 활동 자금을 마련할 수 있도록 하는 틈새 시장이었다. 2015년 10월 1일, 패트레온 사용자 정보가 모두가 볼 수 있는 인터넷에 게재됐는데, 이 데이터에는 15GB에 달하는 패트레온 사이트 소스코드 데이터가 포함되어 있었다.
이 사건으로 예술가들과 기부자들의 이메일 주소, 비밀번호, 이 사이트를 통해 사용자 간 메시지 교환 기록까지 모든 정보가 드러났다. 온라인 보안 감시 사이트인 HIBP(Have I Been Pwned)의 운영자는 230만 이메일 주소 속에서 자신의 이메일도 발견했다.
8위 어덜트 프렌드 파인더(Adult Friend Finder) - 유출된 개인 정보 수: 390만
어덜트 프렌드 파인더 회원들의 개인 상세 정보가 다크넷 포럼(darknet forum)에 폭로됐다. 상세 정보에는 회원들의 나이, 이메일 주소, IP 주소, 사용자명, 우편번호, 그리고 혼외정사를 구하는 관심도, 성적 취향 등도 포함되어 있었다.
5월 21일 영국의 채널 4 뉴스(Channel 4 News)는 이 소식을 보도하면서 이 사이트에서 유출된 개인정보를 통해 사이트의 한 회원을 추적했다. 해당 회원은 자신의 계정은 해킹을 당하기 이전에 삭제했다고 주장했다. 이 주장이 사실이라면 이 사이트는 계정을 삭제한 회원들의 정보를 삭제하지 않은 셈이다.
기즈모도(Gizmodo)는 온라인 포럼에서 어덜트 프랜드파인더 업체에 10만 달러를 주지 않으면 회원 정보를 밝히겠다고 협박 메일을 시도한 범인이라 할 수 있는 자와 연관이 있는 한 게시물을 발견했다.
7위 라스트패스(LastPass) - 유출된 개인 정보 수: 440만(크롬과 파이어폭스 확장 프로그램 사용자의 총수로 추정)
좋은 비밀번호 관리자는 아주 훌륭하다. 비밀번호 관리자는 웹사이트에서의 사용자 로그인 정보를 사용자 레지스트에 저장해뒀다가 나중에 사용자가 해당 사이트에 방문할 때마다 사용자 이름과 비밀번호를 일일리 기입하지 않아도 자동적으로 들어갈 수 있다.
그러나 누군가가 비밀번호 관리자에 사용한 사용자 개인 정보를 접속할 권한을 획득했다면 이 비밀번호 관리자가 아주 나쁜 경우를 맞이한다. 2015년 6월 15일, 라스트패스에서 이런 일이 발생했다.
사용자 이메일과 비밀번호 확인, 다른 중요한 상세 정보들이 담긴 라스트패스 서버에 침입한 흔적이 탐지됐다. 그러나 다행스럽게도 라스트패스 서비스에 있는 사용자 개인 비밀번호나 웹사이트 라스트패스 사용자가 라스트패스 계정에 저장한 비밀번호는 포함되지 않았다. 관련 기사는 다음을 클릭.
6위 스콧트레이드(Scottrade) - 유출된 개인 정보 수: 460만
이 온라인 중개업체에서 유출된 고객 이름과 그들의 집주소는 해커들에게 아주 좋은 정보였다. FBI에 의해 발견된 스콧트레이드 유출 사건은 2013년 말부터 2014년 초에 발생한 것으로 추정되지만 2015년 10월 1일까지 공개되지 않았다.
이 사건에서 유출된 정보는 이메일 주소, 사회보장번호뿐만 아니라 고객 자금 규모와 그들의 비밀번호 등 다른 민감한 고객 정보도 포함되어 있어 스콧트레이드의 거래 플랫폼이 해킹당한 것으로 추정된다. 사이버범죄자들은 투자 사기를 저지를 목적으로 이 회사의 고객 상세 연락처를 원했던 것으로 보인다.
5위 V테크(VTech) - 유출된 개인 정보 수: 총 1,120만 이상(485만 4,209명의 부모와 636만 8,509명의 어린이)
어린이들을 위한 장난감 제조업체 V테크 앱 스토어에서 발생한 유출 사고는 유출된 개인정보보다 더 나쁜 방향으로 흘러갔다.
V테크의 자체 보안은 11월 14일 화이트햇 해커들이 이 회사의 고객 데이터베이스 접속권한을 획득할 정도로 나빴다. 화이트햇 해커는 V테크 제품을 구매한 약 500만에 가까운 사람들의 이름과 이메일 주소, 비밀번호, 집 주소 등을 파일에서 추출했다.
그러나 이보다 더 나쁜 것은 이 데이터에는 V테크 고객들과 연관된 630만 명 어린이의 첫번째 이름과 생년월일, 성별 등이 있었으며, V테크 기기를 갖고 아이들과 그들의 부모가 나눈 수만의 채팅 메시지가 포함되어 있었다. 12월 15일, 이 해킹 사건과 관련해 영국 버크셔주에 거주한 21세 남성을 체포했다. 관련 기사는 다음을 클릭.
4위 T모바일(T-Mobile)과 익스피리언(Experian) - 유출된 개인 정보 수: 1,500만
2013년 9월 1일부터 2015년 9월 16일 사이에 T모바일에서 신규 계약을 하거나 폰을 장만한 사용자의 개인 정보는 허가받지 않은 접속권한을 가진 누군가에 의해 유출됐을 지 모른다. 2015년 9월 15일까지 알려지지 않았던 이 사건으로 유출된 정보는 신청자 이름, 주소, 생년월일, 식별번호(운전면허번호 또는 여권번호), 그리고 사회보장번호 등이다.
이 모든 데이터는 신용정보업체인 익스피리언에 의해 유출됐다. 그래서 T모바일은 익스피리언을 맹렬히 비난했다. T모바일 CEO 존 레제레는 자사의 고객들에게 보낸 메시지에서 "엄청나게 화가 나있다"며, "익스피리언과의 관계를 전면 재검토할 것이다"고 밝혔다. 관련 기사는 다음을 클릭.
3위 미국 인사관리처(U.S. Office of Personnel Management) - 유출된 개인 정보 수: 2,570만(별도 2건의 유출 사건 총합)
2015년 6월 5일 미국 인사관리처(Office of Personnel Management, OPM)는 자체 시스템들과 데이터베이스로부터 400만의 전현직 미국 연방정부 종사자의 개인 데이터가 도난당했다고 발표했다.
한 달이 지난후 OPM은 "자체 인사 배경 조사 데이터베이스에서 별건의 침입 흔적이 발견됐다"며, 사회보장번호와 지문이미지를 포함한 2,150만 명의 개인정보가 유출된 것으로 밝혔다. 인사관리처가 최초 발표할 때에는 지문 이미지 유출 숫자는 약 110만이었는데, 9월 23일에 5배로 증가한 560만 개로 변경했다. 이 사이버 범죄자들은 중국을 기반으로 한 해커로 추정하고 있다. 관련 기사는 다음을 클릭.
2위 애슐리 매디슨(Ashley Madison) - 유출된 개인 정보 수: 3,200만
2015년 7월 19일, 이 부도덕한 연애 사이트의 회원 개인정보가 누군가에 의해 도난당했다. 이를 훔친 이들은 애슐리매디슨과 자매 사이트인 에스테블리시드 맨(Established Men) 사이트를 폐쇄하지 않으면 정보를 모두 공개하겠다고 협박했다.
이들은 이 요구가 받아들여지지 않자 8월 18일 9.7GB의 데이터를 다크웹(dark web)에 올렸다. 공개된 데이터에는 애슐리 매디슨 회원들의 이름, 주소, 암호화된 비밀번호, 전화번호, 그리고 지불 내역들이 고스란히 드러나 있었다. 특히 2008년부터 이름, 이메일 주소, 집주소 등을 모아두고 있었는데, 이는 불법적인 요소가 있다.
이 사건의 여파로 지난 여름, 애슐리 매디슨 회원으로 노출된 유명인사, 암호화된 회원 비밀번호를 성공적으로 풀어버린 사건, 수많은 회원 계정들이 실제 여성인가하는 좀더 깊은 고객 분석, 이 해킹 사건의 배후에는 누가 있는가 등의 수많은 이슈들이 터져나왔다. 관련 기사는 다음을 클릭.
1위 미국 건강보험업체들 - 유출된 개인 정보 수: 1억 1,570만(5개 회사에서 유출된 합계)
2015년, 미국 내 수많은 건강보험업체들이 자사의 고객 데이터베이스를 공격당해 고객 정보들을 잃었다. 각 사건들으로 인해 전체 미국인의 절반에 가까운 이들의 개인 정보가 유출됐다. 다음은 해킹당한 건강보험업체들과 유출된 개인 정보 수다.
- 케어퍼스트(CareFirst) 110만
- 시스테마 소프트웨어(Systema Software) 150만
- UCLA 헬스(UCLA Health) 450만
- 프리메라 블루 크로스(Premera Blue Cross) 1,100만
- 앤섬(Anthem) 9,760만
시스테마 소프트웨어는 건강보험업체가 아니다. 그러나 이 회사는 보험금 청구를 안전이 보장되지 않은 채 아마존 웹 서비스(Amazon Web Services) 서브 도메인에서 데이터베이스를 관리했다.
무엇보다 앤섬 시스템 공격은 2015년 개인 정보 유출 사고 가운데 1위로 기록됐다. 이 유출 사고에는 앤섬 고객들뿐만 아니라 아닌 앤섬과 동일한 보험 네트워크를 공유한 다른 회사들의 고객들도 포함되어 있었다. 관련 기사는 다음을 클릭. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.