보안

AT&T, 고객 약 1.1억 명 통화 데이터 유출 보고

Evan Schuman | CSO 2024.07.15
AT&T가 약 1억 1,000만 명의 고객에 대한 대규모 데이터 유출 사건을 보고했다. 보고에 따르면, 스노우플레이크를 대상으로 한 사이버 공격으로 인해 통화 데이터가 유출됐지만, 통화 내용은 공개되지 않은 것으로 나타났다. 
 
ⓒ Getty Images Bank

AT&T는 도난당한 정보에서 고객 이름은 알 수 없지만 “공개적으로 사용 가능한 온라인 도구를 사용해 특정 전화번호와 관련한 이름을 찾을 수 있는 방법이 종종 있다”라고 말했다. 

AT&A 대변인 짐 킴벌리는 CSO와의 인터뷰에서 도난당한 데이터는 서드파티 워크스페이스에 있었고 대략 2022년 5월 1일부터 10월 31일, 그리고 2023년 1월 2일까지의 기간에 걸쳐 있다. 전화 청구서에서 볼 수 있는 세부 수준에는 못 미친다고 설명했다. 이어 “도난당한 내용은 전화 요금 청구서처럼 상세하지는 않다. ‘이 전화번호가 이 전화번호로 연락했고 몇 분 동안 연결되었다’라는 식이다”라고 덧붙였다. 

AT&T가 SEC에 제출한 자료를 보면 세부 사항을 알 수 있다. “이 데이터에는 통화 또는 문자 내용, 주민등록번호, 생년월일 또는 기타 개인 식별 정보와 같은 개인정보가 포함되어 있지 않다. 현재 분석 결과, 이 데이터에는 해당 기간 동안 거의 모든 AT&T 무선 고객과 AT&T 무선 네트워크를 사용하는 MVNO 고객의 통화 및 문자 기록이 포함된 것으로 나타났다. 이런 기록은 해당 기간 동안 AT&T 또는 MVNO 무선 번호가 AT&T 유선 고객과 다른 통신사 고객의 전화번호, 해당 상호 작용 횟수, 하루 또는 한 달 동안의 전체 통화 시간을 포함해 상호 작용한 전화번호를 식별한다. 하위 집합 데이터에는 하나 이상의 셀 사이트 식별 번호도 포함된다”라고 설명했다. 

“거의 모든” 모바일 고객이 영향을 받았다고 밝혔다는 것은 일부 고객은 영향을 받지 않았다는 의미다. 영향을 받지 않은 고객은 뭔가 다른 조치를 취한 것이냐는 질문에 AT&T 대변인 킴벌리는 대답하지 못했다. 또한 AT&T 는 해당 사건과 관련해 최소 한 명이 체포됐다고 발표했다. FBI는 체포에 대한 CSO의 질문에 답변하지 않았다. 

AT&T는 현재까지 공격자가 다크 웹이나 다른 곳에 정보를 게시한 것으로는 보이지 않는다고 판단했다. SEC 제출 자료에서 “이 신고서를 제출한 날짜를 기준으로 AT&T는 해당 데이터가 공개적으로 이용 가능하다고 생각하지 않는다”라고 보고했다.


AT&T의 보고가 흥미로운 점 2가지

해당 사건에서 흥미로운 점은 FBI 및 미 법무부가 기업에 데이터 유출 세부 정보를 비밀로 유지하도록 조치한 이후 공개를 허가한 첫 번째 사례라는 점이다. AT&T나 FBI는 왜 이제야 유출을 공개하는지에 대해서는 언급하지 않았다. 용의자의 체포가 영향을 미쳤을 수 있다. 

FBI는 CSO에 처음에 정보를 비밀로 하기로 결정한 것은 공동 합의에 따른 것이라고 설명했다. 성명에서는 “고객 데이터에 대한 잠재적 침해 사실을 확인한 직후, 중요성 결정을 내리기 전에 AT&T는 사건을 보고하기 위해 FBI에 연락했다. 침해의 성격을 평가할 때 모든 당사자는 국가 안보 및/또는 공공 안전에 대한 잠재적 위험으로 인해 SEC 규정 1.05(c) 항목에 따라 정보 공개가 지연될 수 있음을 논의했다”라고 말했다. 

한 가지 시나리오는 당국이 AT&T의 보안 침해를 발견했다는 사실을 용의자가 알지 못하게 하기 위해서다. AT&T는 더 많은 용의자가 있다고 말했는데, 다른 용의자들은 용의자 한 명이 체포됐다는 사실에서 AT&T 관련한 상황을 알 수 있다. 이런 경우에는 비밀을 유지할 필요가 없다. 법무부가 언제 공개를 허가했는지에 대해서는 알려진 바 없다. 

제출 서류에서 AT&T는 “2024년 5월 9일과 2024년 6월 5일 미국 법무부는 8-K 양식 1.05(c) 항목에 따라 공개를 연기할 필요가 있다고 결정했다. AT&T는 이제 적시에 보고서를 제출하게 됐다”라고 제출 서류에서 밝혔다. 

또 다른 특이한 점은 CFO, CIO 또는 CISO와 같은 일반적인 SEC 보안 사고 담당 임원이 서명하지 않았다는 점이다. 이번 AT&T SEC 공시에는 AT&T의 수석 부사장이자 최고 개인정보 보호 책임자인 스테이시 마리스가 서명했다. 이는 AT&T가 대규모 사건을 보안 문제가 아닌 개인정보 보호 문제로 간주했음을 의미한다. 서드파티 솔루션이 연관됐기 때문일 수 있다. 

보고서에서 AT&T는 “서류 제출일 현재 이 사건은 AT&T 운영에 중대한 영향을 미치지 않았으며, AT&T는 해당 사건이 AT&T의 재무 상태 또는 운영에 중대한 영향을 미칠 가능성이 있다고 생각하지 않는다”라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.