2014.01.14

타깃의 데이터 유출 사고 위험도, '주의보'에서 '경보'로

Jaikumar Vijayan | Computerworld

지난 10일 미국 쇼핑몰 타깃(Target)의 발표로 최근 이 회사가 겪은 데이터 유출 사고의 피해 고객이 기존에 알려진 규모(4,000만)에 비해 훨씬 많은 7,000만 명 수준으로 파악됐다. 이번 발표는 사고와 관련한, 그리고 이 사고가 피해자들에게 미칠 영향에 관련한 많은 궁금증을 야기했다.

타깃 측은 13일 한 번 더 추가 발표를 열어 데이터 유출 사고 조사 과정에서 고객의 성명이나 우편 주소, 전화번호, 이메일 주소 등 각종 정보들이 지난 달 이들의 시스템을 해킹한 이들과 동일한 집단에 의해 다시 한 번 노출됐다는 사실이 확인됐다고 밝혔다.

성명서에서 타깃은 노출된 정보 대부분은 ‘부분적인' 것들이었다고 이야기했다. 이메일이 유출된 고객들의 경우 해커 측의 접촉 시도가 있을 수도 있을 것이라는 설명도 덧붙였다.

성명서를 직접 발표한 타깃의 회장 겸 CEO 그렉 슈타인하펠은 “고객 정보가 유출되었음을 알리게 되어 매우 유감스러운 심정이며, 고객들이 겪게 될 불편함에 진심 어린 사과를 전한다”라고 말했다.

타깃은 12월 중순 경 그들의 시스템에 11월 27일에서 12월 15일 사이의 기간 동안 해커 집단의 침입이 이뤄졌음을 확인했다. 당시 이들은 4,000만 건의 직불 카드 및 신용 카드 정보에 대해 해커들의 접근이 있었다고 파악했다. 더불어 카드 소유자의 성명이나 카드 번호, 만료 일자 및 CVV 보안 코드에 대한 접근 역시 이뤄졌다고 설명했다.

하지만 조사를 계속 진행하는 과정에서 타깃은 데이터가 유출된 3,000만 개의 카드를 추가로 확인했다. 타깃 측은 “이번 발표는 새로운 유출 사고가 아닌, 새로이 확인된 기존 유출 기록이다”라고 밝혔다.
 


피해 규모 ‘미국 성인 인구 1/3’
유통사 보안을 전문으로 다루는 독립 보안 전문가 제임스 휴글렛은 “타깃이 발표한 숫자는 미국 성인 인구의 1/3에 달하는 규모”라고 지적했다. 그는 이어서 “유출 사고 발생 후 1 개월 내에 한 번이라도 타깃에서 쇼핑한 소비자라면 모두 이번 사고의 영향을 받을 가능성이 있다는 식의 추정은 별로 의미가 없다. 핵심은 유출 수준이다. 타깃의 발표를 보면, 어떤 고객은 단순히 이메일 주소만을 유출 당했을 수도 있지만, 누군가는 자택 주소 정보까지 해커들의 손에 넘어갔을 수도 있다. 타깃 측은 ‘부분적'으로 정보가 유출됐다고 말한다. 하지만 이 발표의 숨은 의미는 각기 다른 형의 정보를 보관하는 다수의 시스템이 해킹 피해를 입었다는 점이다”라고 꼬집었다.

휴글렛은 해커들이 탈취한 정보를 통해 고도로 정교한 스피어 피싱 공격 등을 진행할 수 있을 것으로 전망했다.

그는 “유출 대상이 된 타깃 소비자들은 자신의 이름과 주소, 휴대전화 번호 포함된 맞춤형 이메일을 받아볼 수 있을 것이다. 물론 발신자는 해커다. 조만간 미국 전역에는 신원 도용과 관련한 거대한 문제의 파장이 번질 것이라는 게 내 전망이다”라고 말했다.

휴글렛은 “타깃의 모든 고객들은 이 회사가 제공하는 무료 신용 모니터링(credit monitoring)을 받아들여야 한다”고 말했다. 하지만 현재까지 타깃은 이러한 지원을 제공하지 않고 있는 상황이다. 이에 관해 휴글렛은 “놀라운 일이 아닐 수 없다”라고 평가했다. 공격은 이미 어딘가에서 진행되고 있을지도 모르는 상황이고, 그러할 경우 신용 모니터링은 지금 시작해도 이미 늦은 것일 수 있다는 게 휴글렛의 지적이다.



2014.01.14

타깃의 데이터 유출 사고 위험도, '주의보'에서 '경보'로

Jaikumar Vijayan | Computerworld

지난 10일 미국 쇼핑몰 타깃(Target)의 발표로 최근 이 회사가 겪은 데이터 유출 사고의 피해 고객이 기존에 알려진 규모(4,000만)에 비해 훨씬 많은 7,000만 명 수준으로 파악됐다. 이번 발표는 사고와 관련한, 그리고 이 사고가 피해자들에게 미칠 영향에 관련한 많은 궁금증을 야기했다.

타깃 측은 13일 한 번 더 추가 발표를 열어 데이터 유출 사고 조사 과정에서 고객의 성명이나 우편 주소, 전화번호, 이메일 주소 등 각종 정보들이 지난 달 이들의 시스템을 해킹한 이들과 동일한 집단에 의해 다시 한 번 노출됐다는 사실이 확인됐다고 밝혔다.

성명서에서 타깃은 노출된 정보 대부분은 ‘부분적인' 것들이었다고 이야기했다. 이메일이 유출된 고객들의 경우 해커 측의 접촉 시도가 있을 수도 있을 것이라는 설명도 덧붙였다.

성명서를 직접 발표한 타깃의 회장 겸 CEO 그렉 슈타인하펠은 “고객 정보가 유출되었음을 알리게 되어 매우 유감스러운 심정이며, 고객들이 겪게 될 불편함에 진심 어린 사과를 전한다”라고 말했다.

타깃은 12월 중순 경 그들의 시스템에 11월 27일에서 12월 15일 사이의 기간 동안 해커 집단의 침입이 이뤄졌음을 확인했다. 당시 이들은 4,000만 건의 직불 카드 및 신용 카드 정보에 대해 해커들의 접근이 있었다고 파악했다. 더불어 카드 소유자의 성명이나 카드 번호, 만료 일자 및 CVV 보안 코드에 대한 접근 역시 이뤄졌다고 설명했다.

하지만 조사를 계속 진행하는 과정에서 타깃은 데이터가 유출된 3,000만 개의 카드를 추가로 확인했다. 타깃 측은 “이번 발표는 새로운 유출 사고가 아닌, 새로이 확인된 기존 유출 기록이다”라고 밝혔다.
 


피해 규모 ‘미국 성인 인구 1/3’
유통사 보안을 전문으로 다루는 독립 보안 전문가 제임스 휴글렛은 “타깃이 발표한 숫자는 미국 성인 인구의 1/3에 달하는 규모”라고 지적했다. 그는 이어서 “유출 사고 발생 후 1 개월 내에 한 번이라도 타깃에서 쇼핑한 소비자라면 모두 이번 사고의 영향을 받을 가능성이 있다는 식의 추정은 별로 의미가 없다. 핵심은 유출 수준이다. 타깃의 발표를 보면, 어떤 고객은 단순히 이메일 주소만을 유출 당했을 수도 있지만, 누군가는 자택 주소 정보까지 해커들의 손에 넘어갔을 수도 있다. 타깃 측은 ‘부분적'으로 정보가 유출됐다고 말한다. 하지만 이 발표의 숨은 의미는 각기 다른 형의 정보를 보관하는 다수의 시스템이 해킹 피해를 입었다는 점이다”라고 꼬집었다.

휴글렛은 해커들이 탈취한 정보를 통해 고도로 정교한 스피어 피싱 공격 등을 진행할 수 있을 것으로 전망했다.

그는 “유출 대상이 된 타깃 소비자들은 자신의 이름과 주소, 휴대전화 번호 포함된 맞춤형 이메일을 받아볼 수 있을 것이다. 물론 발신자는 해커다. 조만간 미국 전역에는 신원 도용과 관련한 거대한 문제의 파장이 번질 것이라는 게 내 전망이다”라고 말했다.

휴글렛은 “타깃의 모든 고객들은 이 회사가 제공하는 무료 신용 모니터링(credit monitoring)을 받아들여야 한다”고 말했다. 하지만 현재까지 타깃은 이러한 지원을 제공하지 않고 있는 상황이다. 이에 관해 휴글렛은 “놀라운 일이 아닐 수 없다”라고 평가했다. 공격은 이미 어딘가에서 진행되고 있을지도 모르는 상황이고, 그러할 경우 신용 모니터링은 지금 시작해도 이미 늦은 것일 수 있다는 게 휴글렛의 지적이다.

X