2015년 개인 정보 유출 사고 Top 10

2015년은 무수히 많은 기업과 정부 데이터베이스에 허가받지 않은 접속권한을 획득한 사이버범죄자들에게 있어 아주 넉넉한 한 해였다. 2015년 수백만의 개인정보를 유출한 온라인 유출 사고 TOP 10을 모았다.

10위 미국 국세청(U.S. Internal Revenue Service) - 유출된 개인 정보 수: 약 33만 4,000
IRS(Internal Revenue Service) 사이트에서 10만 명의 세금 정보를 도난 당한 이 사고는 기술적으로 해킹이 아니다.

이는 취약한 보안의 대표적인 사례로, 범죄자들은 IRS 세무 기록 사본 얻기(Get Transcript) 서비스에 보안 질문에 정확히 대답함으로써 침투했다. 사이버범죄자들이 사용한 보안 질문의 답은 어디서나 획득할 수 있거나 간단히 추정할 수 있는 피해자들의 개인 정보들이었다.

미국 국세청 개인 정보 유출 사고는 2015년 2월부터 5월 중순까지 발생했는데, 5얼 26일 IRS에 의해 공공리에 공개됐다.  러시아에 주거하는 것으로 추정되는 이 범죄자의 목적은 아마도 훔친 개인 데이터(개인 생년월일, 사회보장번호, 집주소)를 사용해 세금 환급 사기(refund fraud)를 저지르려는 것이었다.

조사가 좀더 진행된 8월 17일, IRS는 피해자의 수를 10만에서 33만 4,000명으로 변경했다. 관련 기사는 다음을 클릭.

9위 패트레온(Patreon) - 유출된 개인 정보 수: 230만
크라우드펀딩 사이트인 패트레온은 일반인들이 예술가들의 창작 프로젝트를 지원하게 해 예술가들의 창작 활동 자금을 마련할 수 있도록 하는 틈새 시장이었다. 2015년 10월 1일, 패트레온 사용자 정보가 모두가 볼 수 있는 인터넷에 게재됐는데, 이 데이터에는 15GB에 달하는 패트레온 사이트 소스코드 데이터가 포함되어 있었다.

이 사건으로 예술가들과 기부자들의 이메일 주소, 비밀번호, 이 사이트를 통해 사용자 간 메시지 교환 기록까지 모든 정보가 드러났다. 온라인 보안 감시 사이트인 HIBP(Have I Been Pwned)의 운영자는 230만 이메일 주소 속에서 자신의 이메일도 발견했다.

8위 어덜트 프렌드 파인더(Adult Friend Finder) - 유출된 개인 정보 수: 390만
어덜트 프렌드 파인더 회원들의 개인 상세 정보가 다크넷 포럼(darknet forum)에 폭로됐다. 상세 정보에는 회원들의 나이, 이메일 주소, IP 주소, 사용자명, 우편번호, 그리고 혼외정사를 구하는 관심도, 성적 취향 등도 포함되어 있었다.

5월 21일 영국의 채널 4 뉴스(Channel 4 News)는 이 소식을 보도하면서 이 사이트에서 유출된 개인정보를 통해 사이트의 한 회원을 추적했다. 해당 회원은 자신의 계정은 해킹을 당하기 이전에 삭제했다고 주장했다. 이 주장이 사실이라면 이 사이트는 계정을 삭제한 회원들의 정보를 삭제하지 않은 셈이다.

기즈모도(Gizmodo)는 온라인 포럼에서 어덜트 프랜드파인더 업체에 10만 달러를 주지 않으면 회원 정보를 밝히겠다고 협박 메일을 시도한 범인이라 할 수 있는 자와 연관이 있는 한 게시물을 발견했다.

7위 라스트패스(LastPass) - 유출된 개인 정보 수: 440만(크롬과 파이어폭스 확장 프로그램 사용자의 총수로 추정)
좋은 비밀번호 관리자는 아주 훌륭하다. 비밀번호 관리자는 웹사이트에서의 사용자 로그인 정보를 사용자 레지스트에 저장해뒀다가 나중에 사용자가 해당 사이트에 방문할 때마다 사용자 이름과 비밀번호를 일일리 기입하지 않아도 자동적으로 들어갈 수 있다.

그러나 누군가가 비밀번호 관리자에 사용한 사용자 개인 정보를 접속할 권한을 획득했다면 이 비밀번호 관리자가 아주 나쁜 경우를 맞이한다. 2015년 6월 15일, 라스트패스에서 이런 일이 발생했다.

사용자 이메일과 비밀번호 확인, 다른 중요한 상세 정보들이 담긴 라스트패스 서버에 침입한 흔적이 탐지됐다. 그러나 다행스럽게도 라스트패스 서비스에 있는 사용자 개인 비밀번호나 웹사이트 라스트패스 사용자가 라스트패스 계정에 저장한 비밀번호는 포함되지 않았다. 관련 기사는 다음을 클릭.

6위 스콧트레이드(Scottrade) - 유출된 개인 정보 수: 460만
이 온라인 중개업체에서 유출된 고객 이름과 그들의 집주소는 해커들에게 아주 좋은 정보였다. FBI에 의해 발견된 스콧트레이드 유출 사건은 2013년 말부터 2014년 초에 발생한 것으로 추정되지만 2015년 10월 1일까지 공개되지 않았다.

이 사건에서 유출된 정보는 이메일 주소, 사회보장번호뿐만 아니라 고객 자금 규모와 그들의 비밀번호 등 다른 민감한 고객 정보도 포함되어 있어 스콧트레이드의 거래 플랫폼이 해킹당한 것으로 추정된다. 사이버범죄자들은 투자 사기를 저지를 목적으로 이 회사의 고객 상세 연락처를 원했던 것으로 보인다.

5위 V테크(VTech) - 유출된 개인 정보 수: 총 1,120만 이상(485만 4,209명의 부모와 636만 8,509명의 어린이)
어린이들을 위한 장난감 제조업체 V테크 앱 스토어에서 발생한 유출 사고는 유출된 개인정보보다 더 나쁜 방향으로 흘러갔다.

V테크의 자체 보안은 11월 14일 화이트햇 해커들이 이 회사의 고객 데이터베이스 접속권한을 획득할 정도로 나빴다. 화이트햇 해커는 V테크 제품을 구매한 약 500만에 가까운 사람들의 이름과 이메일 주소, 비밀번호, 집 주소 등을 파일에서 추출했다.

그러나 이보다 더 나쁜 것은 이 데이터에는 V테크 고객들과 연관된 630만 명 어린이의 첫번째 이름과 생년월일, 성별 등이 있었으며, V테크 기기를 갖고 아이들과 그들의 부모가 나눈 수만의 채팅 메시지가 포함되어 있었다. 12월 15일, 이 해킹 사건과 관련해 영국 버크셔주에 거주한 21세 남성을 체포했다. 관련 기사는 다음을 클릭.

4위 T모바일(T-Mobile)과 익스피리언(Experian) - 유출된 개인 정보 수: 1,500만
2013년 9월 1일부터 2015년 9월 16일 사이에 T모바일에서 신규 계약을 하거나 폰을 장만한 사용자의 개인 정보는 허가받지 않은 접속권한을 가진 누군가에 의해 유출됐을 지 모른다. 2015년 9월 15일까지 알려지지 않았던 이 사건으로 유출된 정보는 신청자 이름, 주소, 생년월일, 식별번호(운전면허번호 또는 여권번호), 그리고 사회보장번호 등이다.

이 모든 데이터는 신용정보업체인 익스피리언에 의해 유출됐다. 그래서 T모바일은 익스피리언을 맹렬히 비난했다. T모바일 CEO 존 레제레는 자사의 고객들에게 보낸 메시지에서 "엄청나게 화가 나있다"며, "익스피리언과의 관계를 전면 재검토할 것이다"고 밝혔다. 관련 기사는 다음을 클릭.

3위 미국 인사관리처(U.S. Office of Personnel Management) - 유출된 개인 정보 수: 2,570만(별도 2건의 유출 사건 총합)
2015년 6월 5일 미국 인사관리처(Office of Personnel Management, OPM)는 자체 시스템들과 데이터베이스로부터 400만의 전현직 미국 연방정부 종사자의 개인 데이터가 도난당했다고 발표했다.

한 달이 지난후 OPM은 "자체 인사 배경 조사 데이터베이스에서 별건의 침입 흔적이 발견됐다"며, 사회보장번호와 지문이미지를 포함한 2,150만 명의 개인정보가 유출된 것으로 밝혔다. 인사관리처가 최초 발표할 때에는 지문 이미지 유출 숫자는 약 110만이었는데, 9월 23일에 5배로 증가한 560만 개로 변경했다. 이 사이버 범죄자들은 중국을 기반으로 한 해커로 추정하고 있다. 관련 기사는 다음을 클릭.

2위 애슐리 매디슨(Ashley Madison) - 유출된 개인 정보 수: 3,200만
2015년 7월 19일, 이 부도덕한 연애 사이트의 회원 개인정보가 누군가에 의해 도난당했다. 이를 훔친 이들은 애슐리매디슨과 자매 사이트인 에스테블리시드 맨(Established Men) 사이트를 폐쇄하지 않으면 정보를 모두 공개하겠다고 협박했다.

이들은 이 요구가 받아들여지지 않자 8월 18일 9.7GB의 데이터를 다크웹(dark web)에 올렸다. 공개된 데이터에는 애슐리 매디슨 회원들의 이름, 주소, 암호화된 비밀번호, 전화번호, 그리고 지불 내역들이 고스란히 드러나 있었다. 특히 2008년부터 이름, 이메일 주소, 집주소 등을 모아두고 있었는데, 이는 불법적인 요소가 있다.

이 사건의 여파로 지난 여름, 애슐리 매디슨 회원으로 노출된 유명인사, 암호화된 회원 비밀번호를 성공적으로 풀어버린 사건, 수많은 회원 계정들이 실제 여성인가하는 좀더 깊은 고객 분석, 이 해킹 사건의 배후에는 누가 있는가 등의 수많은 이슈들이 터져나왔다. 관련 기사는 다음을 클릭.

1위 미국 건강보험업체들 - 유출된 개인 정보 수: 1억 1,570만(5개 회사에서 유출된 합계)
2015년, 미국 내 수많은 건강보험업체들이 자사의 고객 데이터베이스를 공격당해 고객 정보들을 잃었다. 각 사건들으로 인해 전체 미국인의 절반에 가까운 이들의 개인 정보가 유출됐다. 다음은 해킹당한 건강보험업체들과 유출된 개인 정보 수다.

- 케어퍼스트(CareFirst) 110만
- 시스테마 소프트웨어(Systema Software) 150만
- UCLA 헬스(UCLA Health) 450만
- 프리메라 블루 크로스(Premera Blue Cross) 1,100만
- 앤섬(Anthem) 9,760만

시스테마 소프트웨어는 건강보험업체가 아니다. 그러나 이 회사는 보험금 청구를 안전이 보장되지 않은 채 아마존 웹 서비스(Amazon Web Services) 서브 도메인에서 데이터베이스를 관리했다.

무엇보다 앤섬 시스템 공격은 2015년 개인 정보 유출 사고 가운데 1위로 기록됐다. 이 유출 사고에는 앤섬 고객들뿐만 아니라 아닌 앤섬과 동일한 보험 네트워크를 공유한 다른 회사들의 고객들도 포함되어 있었다. 관련 기사는 다음을 클릭. editor@itworld.co.kr