보안

‘억 소리 난다’ 21세기 최대 데이터 침해 사고 15건

Michael Hill, Dan Swinhoe | CSO 2022.11.11
이제 계정 몇백만 개가 탈취당하는 사건은 흔하다. 2000년대에 들어선 이후 수십억 건이 넘는 계정과 사용자 정보를 유출한 데이터 침해 사고 15건을 모아봤다. 
 
ⓒ Getty Images Bank

오늘날같이 데이터가 사업의 중심이 된 환경에서 데이터 침해는 한 번에 수억 명 또는 수십억 명의 사람에게 피해를 준다. 디지털 전환이 데이터의 이동을 가속했고, 해커가 일상생활의 데이터 의존성을 악용하면서 데이터 침해도 함께 확대됐기 때문이다. 미래의 사이버 공격이 얼마나 커질지 알기는 어렵지만 이미 엄청난 규모에 도달했다는 점은 분명하다.

투명성을 위해 이 목록은 영향을 받는 사용자 수, 노출된 기록 수 또는 영향을 받는 계정 수를 기준으로 작성됐다. 해커가 악의적인 의도로 데이터를 탈취한 사고와 기업이 실수로 데이터를 보호하지 않아 노출된 사고를 구분했다. 후자는 이 목록에 포함되지 않았다. 

다음은 최근 21세기에 들어 가장 그 피해 규모가 컸던 데이터 침해 사고 15가지다.
 

1. 야후

사고 날짜 : 2013년 8월 
피해 규모 : 계정 30억 개 


사고가 일어난 지 거의 7년이 지난 지금도 1위를 차지하는 사고는 2013년 야후 사태다. 회사는 2013년 해당 침해가 발생했다는 사실을 2016년에 밝혔다. 야후는 당시 버라이즌에 인수되는 과정에 있었는데, 해킹그룹이 10억 명에 달하는 야후 사용자의 계정 정보에 접근한 것으로 추정됐다. 1년도 채 되지 않아 야후는 노출된 사용자 계정의 수가 30억이라고 발표했다. 회사는 피해 계정 수가 늘어났다고 해서 새로운 "보안 문제"가 발생한 것이 아니며 모든 "추가 영향을 받는 사용자 계정"에 이메일을 보냈다고 말했다. 

이 공격에도 불구하고 버라이즌 인수는 완료됐지만, 금액이 하향 조정됐다. 버라이즌의 CISO 찬드라 맥마혼은 당시 "버라이즌은 최고 수준의 책임과 투명성을 다하고자 전념하고 있으며, 진화하는 온라인 위협의 지형에서 사용자와 네트워크의 안전과 보안을 보장하기 위해 적극적으로 노력하고 있다"라고 말했다. 

조사 결과 공격자는 보안 문답 등 계좌정보에 접근했지만, 일반 문자 비밀번호와 결제 카드, 은행 자료 등은 탈취하지 못한 것으로 드러났다. 
 

2. 아드하르(Aadhaar)

사고 날짜 : 2018년 1월 
피해 규모 : 인도 시민 11억 명의 신원/생체인증 정보 노출


2018년 초, 해커들이 세계 최대의 ID 데이터베이스인 아드하르에 잠입해 지문과 홍채 스캔과 같은 생체 데이터는 물론 이름, 주소, 사진, 전화번호, 이메일을 비롯한 11억 명 이상의 인도 국민에 대한 정보들을 노출했다는 뉴스가 나왔다. 아드하르의 데이터베이스(2009년 UIDAI(Unique Identification Authority of India)에서 구축)에는 고유한 12자리 숫자로 연결된 은행 계좌에 대한 정보가 포함되어 있기 때문에, 이는 신용 정보 유출이기도 했다. 

UIDAI는 처음 데이터베이스가 그러한 데이터를 보유하고 있지 않다고 주장했다. 

해커들은 웹사이트 인데인(Indane)를 통해 아드하르 데이터베이스에 침투했다. 인데인은 국영 유틸리티 회사다. 응용 프로그램이 다른 응용 프로그램이나 소프트웨어에 저장된 데이터를 검색할 수 있도록 하는 API로 정부 데이터베이스에 연결한다.

불행하게도, 인데인의 API는 접근 제어가 없어서 데이터를 취약하게 만들었다. 해커들은 왓츠앱 그룹을 통해 데이터에 대한 접근권을 7달러에 팔았다. 보안 연구원과 기술 그룹의 경고에도 불구하고, 인도 당국은 2018년 3월 23일에 이르러서야 취약한 액세스 지점을 오프라인으로 만들 수 있었다.
 

3. 알리바바(Alibaba) 

사고 날짜 : 2019년 11월 
피해 규모 : 사용자 데이터 10억 건 


제휴 마케팅 회사에서 일하는 개발자가 8개월에 걸쳐 고객 데이터를 긁어모았다. 이 데이터는 알리바바 중국 쇼핑 사이트인 타오바오의 사용자 이름과 휴대전화 번호와 같은 것이었다. 그는 그가 직접 만든 크롤러 소프트웨어를 사용했다.

개발자와 그가 몸담은 마케팅 회사가 개인적 용도를 위해 정보를 수집했으며, 암시장에서 그것을 팔지 않았던 것으로 보인다. 하지만 결과적으로 두 사람 모두 징역 3년을 선고받았다.

타오바오 대변인은 성명에서 "타오바오는 데이터 프라이버시와 보안이 가장 중요하기 때문에 우리 플랫폼의 무단 스크래핑과 싸우기 위해 상당한 자원을 투입한다. 이러한 무단 스크래핑을 사전에 발견하고 해결했다. 계속해서 법 집행 기관과 협력하여 사용자와 파트너의 이익을 보호하고 보호할 것이다“라고 밝혔다. 
 

4. 링크드인(LinkedIn)

사고 날짜 : 2021년 7월 
피해 규모 : 사용자 7억 명 


2021년 6월 다크 웹 포럼에 7억 개의 링크드인 계정이 게시되어 사용자 기반 90% 이상에 영향을 미쳤다. 갓 유저(God User)라는 별명을 가진 해커는 약 5억 명의 고객이 있는 첫 번째 정보 데이터 세트를 버리기 전에 사이트의 API를 이용하여 데이터 스크래핑 기술을 사용했다. 그러고 나서 7억 개의 고객 데이터베이스를 모두 판매한다고 과시했다. 

링크드인은 민감한 개인정보가 노출되지 않았다고 주장했다. 그러나 이번 사고는 데이터 유출이라기보다는 서비스 약관 위반에 가까웠다. 갓 유저가 게시한 스크래치 데이터 샘플에는 이메일 주소, 전화번호, 지리 위치 기록, 성별 및 기타 소셜 미디어 세부 정보를 포함한 정보가 들어 있었다. 영국의 NCSC가 경고한 대로 이러한 개인 정보는 해커가 소셜 엔지니어링에 악용할 위험이 있다. 
 

5. 시나 웨이보(Sina Weibo)

사고 날짜 : 2020년 3월 
피해 규모 : 계정 5억 3,800만 개


6억 명 이상의 사용자를 보유한 시나 웨이보는 중국에서 주요 소셜 미디어 플랫폼이다. 2020년 3월, 이 회사는 공격자가 데이터베이스의 일부를 획득하여 5억 3,800만 명의 웨이보 사용자와 그들의 개인 정보에 영향을 미쳤다고 발표했다. 정보는 실명, 사이트 사용자 이름, 성별, 위치, 전화번호였다. 해커는 다크웹에 있는 데이터베이스를 250달러에 판매한 것으로 알려졌다.

중국 산업정보과학기술부(MIIT)는 웨이보에 개인정보 보호를 위해 데이터 보안 대책을 강화하고 데이터 보안 사고가 발생하면 사용자와 당국에 통보하라고 지시했다. 

시나 웨이보는 성명을 통해 공격자가 다른 서비스를 사용해 공개적으로 게시된 정보를 수집했다고 주장했다. 주장에 따르면 해당 서비스는 이용자들이 자기 전화번호를 입력해 친구들의 웨이보 계정을 찾을 수 있도록 돕는다.  따라서 비밀번호는 영향을 받지 않았다고 웨이보는 주장했다. 

다만 다른 계정에서 비밀번호를 재사용하는 경우 노출된 데이터를 사용하여 계정을 비밀번호와 연관시킬 수 있다는 점은 회사도 인정했다. 회사는 보안 전략을 강화했으며 자세한 내용을 당국에 보고했다고 말했다.
 

6. 페이스북 

사고 날짜 : 2019년 4월 
피해 규모 : 사용자 5억 3,300만명  


2019년 4월, 페이스북 앱의 사용자 정보가 인터넷에 유출됐다. 5억 3,000만 명 이상의 페이스북 사용자와 연관된 전화번호, 계정 이름, 페이스북 아이디였다. 

2년 뒤인 2021년 4월 이 자료가 무료로 게시돼 범죄에 악용됐다. 무수한 전화번호가 다크웹에 게시된 나머지 트로이 헌트라는 이름의 한 보안 연구원이 ''IBeenPwned(HIBP)'라는 웹사이트를 만들어 페이스북 사용자의 전화번호가 유출된 데이터에 포함되어 있는지 확인할 수 있게 했다.  
 

7. 메리어트 인터내셔널 

사고 날짜 : 2018년 11월 
피해 규모 : 고객 5억 명 


2018년 11월 메리어트 인터내셔널은 해커가 약 5억 명의 고객 데이터를 훔쳤다고 발표했다. 침해는 처음에 2014년 스타우드 호텔 브랜드를 지원하는 시스템에서 발생했다. 공격자는 2016년 메리어트가 스타우드를 인수한 이후, 시스템에 남아 있었으며, 2018년 9월까지 발견되지 않았다. 

공격자들은 연락처 정보, 여권 번호, 스타우드 회원 번호(Starwood Preferred Guest), 여행 정보 및 기타 개인정보를 조합해 훔쳤다. 1억 명이 넘는 고객의 신용카드 번호와 유효기간이 도난당한 것으로 추정됐지만, 메리어트는 이 공격자가 신용카드 번호를 해독할 수 있었는지는 불확실하다고 밝혔다. 뉴욕 타임스 기사에 따르면, 이 침해 사고는 결국 미국 시민에 대한 데이터를 수집하려는 중국 첩보 그룹에 의한 것이라고 한다. 
 

8. 야후 

사고 날짜 : 2014년
피해 규모 : 계정 5억 개 


목록에서 2번째로 등장하는 야후가 받은 이 공격은 2013년에 일어난 1번 사고와 또 다른 사고다. 국가 차원 해커가 이름, 이메일 주소, 전화번호, 해시된 비밀번호, 생년월일을 포함한 5억 개의 계정에서 데이터를 탈취했다. 그 회사는 2014년에 초기에 개선 조치를 취했지만, 야후는 도난당한 데이터베이스가 암시장에 판매된 후 2016년이 되어서야 세부 사항을 공개했다. 
 

9. 어덜트프랜드파인더(Adult Friend Finder)

사고 날짜 : 2016년 10월 
피해 규모 : 계정 4억 1,220만 개


이 침해 사고는 어덜트프랜드파인더에서 제공하는 서비스의 특징으로 인해 계정 소유자에게 특히 민감한 사안이었다. 어덜트프랜드파인더, 펜트하우스닷컴(Penthouse.com), 캠스닷컴(Cams.com), 아이캠스닷컴(iCams.com) 및 스트립쇼닷컴(Stripshow.com)과 같은 문란한 이성 연결과 성인 콘텐츠 웹사이트를 포함한 프렌드파인더 네트워크는 2016년 10월 중순에 공격당했다. 도난당한 데이터는 6개 데이터베이스에서 20년 동안 보관되어 오던 것으로, 이름, 이메일 주소, 그리고 비밀번호가 포함되어 있었다.
 
비밀번호를 방어하는 수단은 취약한 SHA-1 해싱 알고리즘이었다. 2016년 11월 14일, 도난당한 계정을 검색할 수 있는 데이터베이스인 리크드소스(leakedsource)가 해당 데이터 세트를 분석한 결과에 따르면 99%가 복호화된 것으로 추정된다. 
 

10. 마이스페이스(MySpace)

사고 날짜 : 2013년 
피해 규모 : 사용자 계정 3억 6,000만 개


한때 소셜 미디어 강자였던 마이스페이스는 2016년 3억 6,000만 명의 사용자 계정이 리크드소스에 유출되어 다크웹에서 6 비트코인(당시 약 3,000달러)에 판매된 후, 각종 언론의 주목을 받았다. 

마이스페이스에 따르면, 도난당한 데이터에는 구 마이스페이스 플랫폼에서 2013년 6월 11일 이전에 생성된 일부 계정의 이메일 주소, 비밀번호, 사용자 이름이 포함됐다. 개인 정보 해킹 여부를 알려주는 사이트인 HIBP(Have I Been Pwned)의 트로이 헌트에 따르면, 비밀번호는 소문자로 변환된 후 첫 10자의 SHA-1 해시로 저장됐다.
 

11. 넷이즈(NetEase)

사고 날짜 : 2015년 10월 
피해 규모 : 사용자 계정 2억 3,500만 개  


넷이즈는 163.com 및 126.com과 같은 메일 서비스 제공업체다. 더블플레그(DoubleFlag)라는 다크웹 사이트가 넷이즈 고객의 약 2억 3,500만 계정의 이메일 주소와 일반 텍스트로 된 비밀번호를 판매하고 있는 것으로 보고됐다. 더블플래그는 텐센트의 QQ.com, 시나 코퍼레이션(Sina Corporation), 소후(Sohu)와 같은 중국 대기업에서 가져온 정보도 판매하고 있었다. 넷이즈는 모든 침해 사실을 부인한 것으로 알려졌다. HIBP는 이 침해 사항을 ‘확인되지 않음’으로 표시했다. 
 

12. 코트벤처스(Court Ventures)

사고 날짜 : 2013년 
피해 규모 : 개인 기록 2억 건 


익스페리안(Experian) 자회사인 코트벤처스는 2013년 싱가포르 출신 사설탐정 행세를 한 베트남 남성(히에우민 응오)에게 속아 2억 건의 개인 기록이 담긴 데이터베이스의 접근 권한을 내주고 말았다. 히에우민 응오의 행적에 대한 자세한 내용은 그가 2007년부터 전 세계 사이버 범죄자들에게 미국 거주자의 개인 정보(신용 카드 번호 및 사회 보장 번호 포함)를 판매한 혐의로 체포된 이후 밝혀졌다. 2014년 3월, 뉴햄프셔 지방법원에서 그는 신분 사기를 포함한 여러 혐의에 대해 유죄를 인정했다. 당시 법무부는 응오가 개인 데이터를 판매해 총 200만 달러를 벌었다고 밝혔다.
 

13. 링크드인 

사고 날짜 : 2012년 6월 
피해 규모 : 사용자 1억 6,500 명 


야후에 이어 두 번째로 등장하는 링크드인은 해커가 650만 개의 연관되지 않은 비밀번호(해독되지 않은 SHA-1 해시)를 도용해 러시아 해커 포럼에 게시했다고 2012년 발표했다. 하지만 사고의 전모가 드러난 건 2016년이었다. 마이스페이스의 데이터를 판매한 이 해커는 약 1억 6,500만 명의 링크드인 사용자들의 이메일 주소와 비밀번호를 단돈 5비트코인(당시 약 2,000 달러)에 제공한 것으로 밝혀졌다. 링크드인은 위반 사실을 알게 된 것을 인정했고, 영향받은 계정의 비밀번호를 재설정했다고 말했다.
 

14. 덥스매쉬(Dubsmash) 

사고 날짜: 2018년 12월 
피해 규모: 사용자 1억 6,200만 명 


2018년 12월, 미국의 비디오 메시지 서비스 업체 덥스매쉬는 1억 6,200만 개의 이메일 주소, 사용자 이름, PBKDF2 비밀번호 해시 및 생년월일과 같은 기타 개인 데이터를 도난당했다. 이 모든 정보는 이듬해 12월 드림마켓 다크웹 시장에 매물로 나왔다. 이 정보는 마이 피트니스 팔(MyFitnessPal), 마이 헤리티지(MyHeritage), 셰어 디스(Share This), 아머 게임(Armor Game), 데이팅 앱 커피미츠 베이글(Coffee Meets Bagel) 같은 앱의 덤프 정보에 포함돼 판매되고 있었다.

덥스매쉬는 정보 유출과 판매가 발생했음을 인정하고 비밀번호 변경에 대한 조언을 제공했다. 그러나 해커가 어떻게 침입했는지는 확인하지 못했다. 
 

15. 어도비 

사고 날짜 : 2013년 10월 
피해 규모 : 사용자 1억 5,300만 명 


2013년 10월 초, 어도비는 해커가 거의 300만 명의 암호화된 고객 신용 카드 기록를 비롯해 아직 그 수를 파악하지 못한 사용자 계정에 대한 로그인 데이터를 훔쳤다고 밝혔다. 며칠 후, 어도비는 3,800만 개에 달하는 사용자 계정이 영향받았다고 보도했다. 

보안 블로거 브라이언 크렙스는 며칠 전에 인터넷에 올라온 파일이 "어도비에서 가져온 1억 5,000만 개 이상의 사용자 이름과 해시된 암호 쌍을 포함하는 것으로 보인다"라고 블로그에 글을 기재했다. 몇 주 동안의 연구에 따르면 이 해킹은 고객 이름, 비밀번호, 직불 카드 및 신용카드 정보도 노출했다. 

2015년 8월, 소비자는 어도비에 고객 기록법을 위반하고 불공정한 사업 관행을 저질렀다는 이유로 110만 달러의 법적 수수료와 미공개 금액을 요구했다. 2016년 11월까지 어도비가 고객에게 지급한 금액은 100만 달러로 보고됐다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.