해커 한 명이 뚫은 글로벌 기업
보안 시스템의 허점이 드러났다
“이재용도 당했다. 일론 머스크도 피하지 못했다.”
세계 유수의 기업들이 줄줄이 개인정보 유출 피해를 입으며, 글로벌 보안 시스템에 심각한 허점이 드러났다.
글로벌 기업 삼성전자와 X(구 트위터)마저 사이버 공격에 뚫리면서, 피해는 국경을 넘어 확산되고 있으며 수법은 한층 정교해지고 있다.
삼성전자 27만 명 개인정보 유출
삼성전자는 독일 법인에서 약 27만 명의 고객 개인정보가 해킹을 통해 유출되는 사고를 겪었다.
피해 정보에는 이름, 주소, 이메일, 결제 방식, 구매 이력 등 민감한 항목이 포함됐다.
해킹을 시도한 건 ‘GHNA’라는 이름을 쓰는 해커로, 독일 데이터 분석업체 스펙토-GmbH의 취약한 보안 시스템을 통해 정보를 빼낸 것으로 알려졌다.
GHNA는 2021년 한 직원의 컴퓨터에 악성코드를 심어 로그인 정보를 확보한 뒤, 4년간 변경되지 않은 계정으로 올해 3월 데이터에 접근한 것으로 알려졌다.
보안 전문매체 인포스틸러는 “정확한 주소부터 과거 구매 이력까지 누구나 열람 가능한 형태로 공개돼 있다”며 “해커가 이를 다양한 방식으로 악용할 수 있다”고 전했다.
실제로 유출된 주문번호, 배송 추적 URL 등을 통해 배송 중인 물품을 가로채거나, 구매 내역을 활용한 피싱 이메일 발송 가능성도 제기되고 있다.
고객 지원 담당자의 이메일까지 포함돼 있어, 사칭 피해도 우려된다.
삼성전자는 이번 사건으로 유럽 개인정보보호법(GDPR) 위반에 따른 벌금과 소송 위험에 놓이게 됐다. GDPR은 개인정보 유출 시 기업에 높은 수준의 벌금을 부과하는 제도다.
실제로 아마존은 GDPR 위반으로 약 1조1800억 원의 벌금을, 메타는 약 1조9000억 원에 달하는 과징금을 부과받은 바 있으며, 삼성도 이와 유사한 조치를 받을 가능성이 있다.
머스크의 ‘X’도 뚫렸다… 2억 명 정보 유출
테슬라 CEO 일론 머스크가 인수한 X(옛 트위터)도 대규모 정보 유출 의혹에 휘말렸다.
사이버보안 분석 업체 ‘세이프티디텍티브스’는 최근 해커 게시판에서 ‘씽킹원(ThinkingOne)’이라는 사용자가 올린 글을 통해 X 사용자 정보가 담긴 400GB 규모의 파일이 유출됐다고 밝혔다.
해당 글에 따르면 유출된 정보에는 약 28억 개의 계정이 포함돼 있으며, 이 가운데 약 2억100만 명의 데이터는 2023년 이미 알려진 유출 기록과 일치하는 것으로 분석됐다.
파일에는 이메일 주소, 사용자명, 위치 정보, 팔로워 계정 등의 정보가 포함됐다.
분석팀은 일부 이메일 주소가 실제로 유효하다는 것을 확인했지만, 해당 이메일이 실제 계정과 연결돼 있는지는 확인되지 않았다.
씽킹원은 “직원 대량 해고 시기 중 불만을 품은 내부 인물이 정보를 빼낸 것 같다”고 주장했다. 그는 X 측에 연락을 시도했지만 응답이 없었다고도 밝혔다.
IT 매체 매셔블은 이 파일에 포함된 계정 중 일부는 비활성화된 계정이나 봇 계정일 가능성도 있다고 분석했다.
보안 전문가들은 “유출된 이메일과 사용자 정보를 활용해 그럴듯한 피싱 메시지를 만들고, 추가 정보 탈취나 악성코드 유포로 이어질 수 있다”며 경계를 당부했다.
국내 유통가도 줄줄이 유출 사고
국내 기업들도 연이은 개인정보 유출 사고를 겪고 있다.
인사관리 플랫폼 인크루트는 지난달 회원들에게 개인정보 유출 의심 안내 메일을 보냈다. 이름, 생년월일, 전화번호 등 다양한 항목이 유출된 것으로 파악됐다.
인크루트는 지난해에도 3만5000건이 넘는 정보 유출 사고로 과징금과 과태료를 받은 바 있다. 당시에도 해킹 시도를 사전에 차단하지 못한 점이 문제로 지적됐다.
아웃도어 브랜드 블랙야크는 해커의 홈페이지 침입으로 약 34만 건의 고객정보가 유출됐다.
GS리테일도 두 달 사이 약 167만 건의 정보가 노출됐다. 모두 ‘크리덴셜 스터핑’이라는 비밀번호 대입 공격을 막지 못한 탓이었다.
기업의 보안 허점은 해커들에게 수백만 건의 정보를 넘겨주는 통로가 되고 있다. 전문가들은 정확한 대응과 강력한 보호 조치 없이는, 누구나 다음 피해자가 될 수 있다고 경고했다.
