2018.02.14

"에퀴팩스 해커, 알려진 것보다 더 많은 데이터를 훔쳤다"…미 상원의원

Ms. Smith | CSO
공격자는 에퀴팩스(Equifax) 해킹을 통해 일반에 알려진 것보다 더 많은 데이터를 훔쳤을지 모른다. 지난해 미 사법부는 신용정보업체인 에퀴팩스가 1억 4,550만 명의 이름, 사회보장번호, 생년월일, 주소, 일부 운전면허증 및 신용카드번호와 같은 개인정보가 유출한 점을 인정하는 판결을 내렸다.



그러나 에퀴팩스가 미 상원금융위원회(Senate Banking Committee)에 제출한 문서에 따르면, 공격자는 세금식별번호, 추가적인 운전면허증, 신용카드 세부정보, 이메일 주소, 전화번호 등을 훔쳤을 수도 있다.

2월 9일 월스트리트저널은 일반에게 알려진 것보다 해킹이 더 심했을 것이라는 미 상원의원 엘리자베스 워렌의 편지를 공개하면서 마침내 전체 해킹 규모가 드러났다고 보도했다. 

에퀴팩스는 불완전하고 모순된 성명서를 계속 발표하면서 미 의회와 일반 대중에게 정보를 숨기고 있었다. 해킹 사실이 공개된 지 5개월이 지난 지금에서도 에퀴팩스는 침해 범위를 묻는 간단한 질문조차도 완전히 답하지 않고 있었다.

에퀴팩스는 이번 대규모 해킹에서 접속할 수 있는 추가 유형의 데이터를 무시하기 바빴다. 월스트리트저널은 해킹당한 이메일 주소의 숫자를 완전히 공개하지 않은 에퀴팩스가 이메일 주소는 종종 공개적으로 볼 수 있기 때문에 규정 요구 사항을 준수했다고 전했다.

에퀴팩스는 CNN 머니와이 인터뷰에서 "취약한 개인정보의 원래 목록은 유출된 정보의 전체 목록을 의미하지는 않는다"고 논란을 키웠다. 이에 대해 에퀴팩스 대변인 메레디스 그리판티는 AP 통신과의 인터뷰에서 "소비자들에게 오도하려는 의도는 결코 없었다"고 해명했다.

또한 그리판티는 "위원회에 제공한 목록은 사이버범죄자가 접속할 수 있는 모든 데이터 요소가 포함되어 있지만, 이 요소들이 소비자에게 주는 영향은 거의 없다"며, "여권 번호와 같은 일부 데이터는 도난당하지 않았다"고 전했다. 에퀴팩스는 피해를 입은 소비자의 총수는 변경되지 않았다는 주장을 반복했다.

그리판티는 "만약 당신이 이런 류의 발표를 할 때, 어디에 선을 그을까? 우리가 금융위원회에 제출한 목록을 봤다면 꽤나 철저하다는 것을 알 것이다. 우리는 숨기고 있지 않다는 것을 보여주고 싶다"고 말했다.

하지만 모든 것이 드러난 것은 아니었다. 워렌 상원의원은 지난 5개월간의 조사를 통해 에퀴팩스에서 있었던 데이터 유출과 은폐의 정도가 드러났다고 지적했다. 워렌은 에퀴팩스 해킹을 역사상 가장 중요한 데이터 보안 사고 가운데 하나라고 말했다.

워렌 상원의원의 보고서는 에퀴팩스의 느슨한 보안이 사람들의 데이터를 보호하지 못했고, 또한 해킹 사실을 알게 된 후, 미연방 계약상의 허점을 악용해 이를 어떻게 감당할 지에 대해 논의하면서 시간을 벌었다고 전했다. 미연방 계약상 IRS는 민감한 납세자 데이터를 보호하는 계약을 체결해야 한다.

또한 이 보고서는 웹사이트의 절대적인 실패를 강조했다. 이 웹사이트는 안전하지도 않고 지속적으로 유용하지도 않으며, 에퀴팩스가 설정해 놓은대로 사람들이 데이터에 접속했는지 판단할 수 있도록 했다. 이후 에퀴팩스는 해당 사이트의 문제를 공급업체 소프트웨어 코드가 잘못된 것이라고 책임을 돌렸다.

에퀴팩스의 데이터 침해 목록
뉴욕포스트가 보도한 에퀴팩스의 데이터 침해 목록에는 여권번호, 사회보장번호, 첫번째, 마지막, 중간 이름과 성별, 집주소, 전화번호, 운전면허증번호(면허 발급날짜와 만료날짜 포함), 생년월일, 신용카드 번호, 만료일 및 CV2 보안 번호, 세금 식별 번호, 이메일 주소가 포함되어 있다.

2월 9일, 워렌 상원의원은 다음과 같이 전했다.
"공격자 접속 테이블(attacker-accessed tables)에 나열된 개인식별정보 유형에는 세금 식별번호, 이메일 주소, 여권 번호가 있었다. 상원 금융위원회에게 보고한 바에 따르면, 해커들은 거의 모든 데이터 요소에 접속할 수 있었다. 현재 에퀴팩스는 금융위원회에게 공격자가 접속한 테이블에 포함되어 있는 여권 번호는 훼손되지 않았다고 주장하고 있다."

전문가들은 "운전면허증번호와 만료날짜, 신용카드에 있는 보안 코드와 같은 것들은 주에 따라 문제가 된다. 에퀴팩스에서 도난 당한 추가정보로 인해 사이버범죄자들은 일반인을 사칭하는 것이 좀 더 쉬워진다"고 우려했다.

전미소비자법률센터(National Consumer Law Center) 부국장 로렌 손더스는 한 매체와의 인터뷰에서 "사기꾼들이 소비자들에 대해 더 많은 정보를 가질수록 그들은 해당 소비자를 사칭하는 것이 더 쉬워진다"고 말했다. editor@itworld.co.kr  


2018.02.14

"에퀴팩스 해커, 알려진 것보다 더 많은 데이터를 훔쳤다"…미 상원의원

Ms. Smith | CSO
공격자는 에퀴팩스(Equifax) 해킹을 통해 일반에 알려진 것보다 더 많은 데이터를 훔쳤을지 모른다. 지난해 미 사법부는 신용정보업체인 에퀴팩스가 1억 4,550만 명의 이름, 사회보장번호, 생년월일, 주소, 일부 운전면허증 및 신용카드번호와 같은 개인정보가 유출한 점을 인정하는 판결을 내렸다.



그러나 에퀴팩스가 미 상원금융위원회(Senate Banking Committee)에 제출한 문서에 따르면, 공격자는 세금식별번호, 추가적인 운전면허증, 신용카드 세부정보, 이메일 주소, 전화번호 등을 훔쳤을 수도 있다.

2월 9일 월스트리트저널은 일반에게 알려진 것보다 해킹이 더 심했을 것이라는 미 상원의원 엘리자베스 워렌의 편지를 공개하면서 마침내 전체 해킹 규모가 드러났다고 보도했다. 

에퀴팩스는 불완전하고 모순된 성명서를 계속 발표하면서 미 의회와 일반 대중에게 정보를 숨기고 있었다. 해킹 사실이 공개된 지 5개월이 지난 지금에서도 에퀴팩스는 침해 범위를 묻는 간단한 질문조차도 완전히 답하지 않고 있었다.

에퀴팩스는 이번 대규모 해킹에서 접속할 수 있는 추가 유형의 데이터를 무시하기 바빴다. 월스트리트저널은 해킹당한 이메일 주소의 숫자를 완전히 공개하지 않은 에퀴팩스가 이메일 주소는 종종 공개적으로 볼 수 있기 때문에 규정 요구 사항을 준수했다고 전했다.

에퀴팩스는 CNN 머니와이 인터뷰에서 "취약한 개인정보의 원래 목록은 유출된 정보의 전체 목록을 의미하지는 않는다"고 논란을 키웠다. 이에 대해 에퀴팩스 대변인 메레디스 그리판티는 AP 통신과의 인터뷰에서 "소비자들에게 오도하려는 의도는 결코 없었다"고 해명했다.

또한 그리판티는 "위원회에 제공한 목록은 사이버범죄자가 접속할 수 있는 모든 데이터 요소가 포함되어 있지만, 이 요소들이 소비자에게 주는 영향은 거의 없다"며, "여권 번호와 같은 일부 데이터는 도난당하지 않았다"고 전했다. 에퀴팩스는 피해를 입은 소비자의 총수는 변경되지 않았다는 주장을 반복했다.

그리판티는 "만약 당신이 이런 류의 발표를 할 때, 어디에 선을 그을까? 우리가 금융위원회에 제출한 목록을 봤다면 꽤나 철저하다는 것을 알 것이다. 우리는 숨기고 있지 않다는 것을 보여주고 싶다"고 말했다.

하지만 모든 것이 드러난 것은 아니었다. 워렌 상원의원은 지난 5개월간의 조사를 통해 에퀴팩스에서 있었던 데이터 유출과 은폐의 정도가 드러났다고 지적했다. 워렌은 에퀴팩스 해킹을 역사상 가장 중요한 데이터 보안 사고 가운데 하나라고 말했다.

워렌 상원의원의 보고서는 에퀴팩스의 느슨한 보안이 사람들의 데이터를 보호하지 못했고, 또한 해킹 사실을 알게 된 후, 미연방 계약상의 허점을 악용해 이를 어떻게 감당할 지에 대해 논의하면서 시간을 벌었다고 전했다. 미연방 계약상 IRS는 민감한 납세자 데이터를 보호하는 계약을 체결해야 한다.

또한 이 보고서는 웹사이트의 절대적인 실패를 강조했다. 이 웹사이트는 안전하지도 않고 지속적으로 유용하지도 않으며, 에퀴팩스가 설정해 놓은대로 사람들이 데이터에 접속했는지 판단할 수 있도록 했다. 이후 에퀴팩스는 해당 사이트의 문제를 공급업체 소프트웨어 코드가 잘못된 것이라고 책임을 돌렸다.

에퀴팩스의 데이터 침해 목록
뉴욕포스트가 보도한 에퀴팩스의 데이터 침해 목록에는 여권번호, 사회보장번호, 첫번째, 마지막, 중간 이름과 성별, 집주소, 전화번호, 운전면허증번호(면허 발급날짜와 만료날짜 포함), 생년월일, 신용카드 번호, 만료일 및 CV2 보안 번호, 세금 식별 번호, 이메일 주소가 포함되어 있다.

2월 9일, 워렌 상원의원은 다음과 같이 전했다.
"공격자 접속 테이블(attacker-accessed tables)에 나열된 개인식별정보 유형에는 세금 식별번호, 이메일 주소, 여권 번호가 있었다. 상원 금융위원회에게 보고한 바에 따르면, 해커들은 거의 모든 데이터 요소에 접속할 수 있었다. 현재 에퀴팩스는 금융위원회에게 공격자가 접속한 테이블에 포함되어 있는 여권 번호는 훼손되지 않았다고 주장하고 있다."

전문가들은 "운전면허증번호와 만료날짜, 신용카드에 있는 보안 코드와 같은 것들은 주에 따라 문제가 된다. 에퀴팩스에서 도난 당한 추가정보로 인해 사이버범죄자들은 일반인을 사칭하는 것이 좀 더 쉬워진다"고 우려했다.

전미소비자법률센터(National Consumer Law Center) 부국장 로렌 손더스는 한 매체와의 인터뷰에서 "사기꾼들이 소비자들에 대해 더 많은 정보를 가질수록 그들은 해당 소비자를 사칭하는 것이 더 쉬워진다"고 말했다. editor@itworld.co.kr  


X