미국 신용도용범죄정보센터(Identity Theft Resource Center)는 최근 2013년 미국내 기업, 헬스케어, 교육, 정부 기관 등에서 발생한 619건의 데이터 유출 사고를 정리한 결과 약 5,790만 건의 개인 및 금융 데이터가 도난당했거나 보안 사고로 노출된 것으로 알려졌다. 이 가운데 26건의 최악의 데이터 유출 사건을 소개한다. editor@itworld.co.kr
No.1 페이스북
지난해 6월 페이스북은 '자신의 정보를 다운로드(Download Your Information)'하는 소프트웨어의 버그로 인해 약 600만 명의 페이스북 사용자 이메일 주소 또는 전화번호를 공유했다. 이는 한 보안 연구원이 발견해 페이스북에 이러한 사실을 올렸고 이 버그는 곧 해결됐다.
No.2 대형 유통체인 타깃(Tarket)
추수감사시즌, 대형 유통 체인인 타깃에서 발생한 데이터 유출 사고로 인해 약 1억 1,000만 이상의 고객 결제지불 카드 정보가 유출됐다.
No.3 어도비
지난해 8월, 어도비는 약 290만 고객 사용자 아이디와 비밀번호, 그리고 신용카드 정보를 유출했다고 밝혔다. 그러나 10월에 어도비는 유출한 계정 정보가 3,800만에 달했으며 유출된 정보는 고객 이름과 아이디, 암호화된 비밀번호와 신용카드 및 체크카드 번호, 기한 날짜 등이라고 밝혔다.
No.4 마리코파 카운티 커뮤니티 칼리지
지난해 11월, 미국 애리조나 칼리지는 데이터 침해 사고로 인해 250만의 개인 정보를 노출시켰다고 알렸다.
No.5 슈눅스
지난해 4월, 슈퍼마켓 체인인 슈눅스(Schnucks)는 사이버공격으로 인해 자사의 240만 고객 지불결제 카드 정보를 도난당했다고 밝혔다. 슈눅스 마켓은 한 해커가 자사의 네트워크에 침투해 미국 세인트루이스 지역에 있는 약 200만 이상의 고객 신용카드 번호와 기한 날짜 등이 담긴 데이터에 접속했다고 말했다. 그러나 고객의 이름과 주소는 유출되지 않았다고 전했다. 이 회사 CEO 스콧 슈눅스는 사과했다.
No.6 워싱턴주 법원 행정처
해커들은 워싱턴 주에 있는 법원행정처(Administrative Office of the Courts in Washington state)의 서버에 접속해 16만 이상의 사회보장번호와 100만 이상의 운전면허증을 복사했다.
No.7 코퍼레이트카온라인
한 해커는 코퍼레이트카온라인에 침입해 리무진과 타운 카 서비스를 사용한 85만 명의 개인 및 금융 정보를 노출시켰다.
No.8 뉴저지 버라이즌 블루크로스 블루실드
민간 비영리 보험업체인 뉴저지 버라이즌 블루크로스 블루실드는 83만 9,711명의 고객 정보가 담겨있는 두 개의 노트북을 도난당했다고 알렸다.
No.9 어드밴티스트 헬스 시스템/썬벨트
미국 플로리다주 말타몬티스프링스 소재의 어드밴티스트 헬스 시스템/썬벨트는 76만 3,000명의 환자의 건강 정보를 지키지 못한 책임으로 집단 소송을 당했다.
2009년에서 2011년동안 전 응급실 직원에 의해 조직적으로 환자 데이터를 팔고 있음을 발견했다. 올해 데일 먼로 2세는 응급차 환자 정보를 척추지압서비스 호객 행위에 사용한 공모자에게 판 혐의로 유죄를 선고받았다.
No.10 JP 모건 체이스
뉴욕에 본사를 둔, 세계에서 가장 오래된 금융업체 가운데 하나인 JP 모건 체인스 앤 컴퍼니는 사이버공격을 받아 JP모건 체이스가 제시한 선불 현금 인출 카드를 사용하는 약 50만의 기업 및 정보 고객의 개인 정보가 노출됐다고 밝혔다.
No.11 AMHC 헬스케어
미국 캘리포니아 소재의 병원 관리업체인 AMHC 헬스케어는 사무실에서 두 대의 노트북을 도난당해 약 72만 9,000명의 환자 건강 정보가 유출됐다고 밝혔다.
No.12 Cbr 시스템즈
미국 연방거래위원회(Federal Trade Commission, FTC)는 제대혈 은행인 Cbr 시스템즈가 보안 미비로 인해 약 30만 명의 사회 보장 및 신용 카드 정보를 노출시킨 책임을 물어 벌금을 부과했다.
No.13 어피니티 게이밍
네바다 주에서 레일 시티 카지노를 포함해 여러 카지노를 소유한 어피니티 게이밍은 악성코드에 감염된 컴퓨터에 저장되어 있던 약 28만 명의 고객 지불 결제 카드 정보를 유출했다. 어피니티 게이밍은 보안 사고가 일어난 것을 사법당국에 의해 알게 됐다.
No.14 텍사스 헬스 해리스 메소디스트 병원
협력업체에 의해 파기되어야 했던 텍사스 헬스 해리스 메소디스트 병원의 27만 7,000건의 오래된 환자 기록이 달라스의 한 공원에서 발견됐다.
No.15 인디애나 가족부
인디애나 주 당국은 한 메일링에서 컴퓨터 프로그래밍 에러로 인해 18만 7,533 고객과 연관된 정보를 노출했다.
No.16 SOS
지난 11월 해외 의료 및 보안 지원 서비스 업체인 인터내셔날SOS는 이메일, 여권번호, 그리고 여행정보 등이 포함된 16만 4,000명의 정보가 제 3자에게 노출됐다고 밝혔다.
No.17 텍사스 시티 은행
텍사스 시티 은행은 파산과 다른 소송 절차와 관련한 15만 건의 데이터가 부주의로 노출됐다고 알렸다.
No.18 버지니아 공대
버지니아 공대는 데이터 사고로 인해 지난 10년 동안 취업한 약 14만 5,000명의 기록이 노출됐다고 공개했다.
No.19 테라컴-유어텔
지난 5월 오클라호마를 기반으로 한 이동통신업체 테라컴과 유어텔아메리카는 언론 매체인 스크립스 하워드 및 스크립스 하워드 뉴스 서비스 소속의 기자들이 '위기에 빠진 프라이버시'라는 탐사보도의 일환으로 서드파티 업체로부터 15만 명에 달하는 잠재 고객에 대한 정보를 불법적으로 입수했다고 밝혔다. 테라컴과 유어텔은 데이터가 유출됐음을 인정했다.
No.20 캘리포니아 주 복지부
해커들은 캘리포니아 주 복지 당국을 공격해 침입한 컴퓨터 내에 있던 14만 4,493명의 캘리포니아 거주자로 추정되는 개인 정보를 유출했다.
No.21 커크우드 커뮤니티 칼리지
미국 아이오와 주 소재 커크우드 커뮤니티 칼리지는 해커들이 자체 웹사이트와 데이터베이스를 침입해 약 12만 5,000 명의 이름과 사회 보장 번호, 그리고 다른 개인 정보를 훔쳤다고 밝혔다.
No.22 성 메리 은행
미국 뉴햄프셔 소재의 신용 협동 조합인 성 메리 은행은 자체 컴퓨터가 악성코드에 감염되어 잠재적인 11만 5,775 뱅킹 고객과 연계된 정보를 유출했다고 알렸다.
No.23 센트럴 허드슨 가스 및 전기 회사
뉴욕 주 소재 유틸리티 업체인 센트럴 허드슨 가스 및 전기 회사는 약 11만 고객들의 정보가 사이버공격에 노출됐을 것이라고 말했다.
No.24 크레센트 헬스케어
미국 캘리포니아 주 애너하임을 기반으로 한 잡화점인 크레센트 헬스케어는 10만 9,000명의 환자와 종업원들의 데이터를 유출했다고 밝혔다.
No.25 미국 에너지성
지난해 7월, 미 연방당국은 사이버 보안 사고로 인해 10만 4,179명의 에너지성 종사자들의 데이터를 노출했다고 알렸다.
No.26 미 국세청
미국 국세청(Internal Revenue Service. IRS)는 실수로 정부 웹사이트에 수만의 이름과 주소, 그리고 10만이 넘는 사회보장번호를 게재했다. 이는 지난해 7월 퍼블릭리소스(Public.Resource.org)라 불리는 비영리 단체에 의해 발견됐다.