2013년 2분기 미국에서 최악의 데이터 침해로 꼽히는 사고는 모두 12건. 이들은 기업, 병원, 정부기관 등 다양한 곳에서 발생했으며 일부는 빠른 조치로 큰 피해를 줄였다.
공개된 데이터 침해 사고를 조사하는 아이덴티티 쎄프트 리소스 센터(ITRC: Identity Theft Resource Center)가 올해 상반기 의료 기록, 사회보장 번호, 현금 카드 및 신용 카드, 기타 중요한 개인 정보 640만 개에 영향을 미친 301건의 데이터 침해 사고를 조사했다. 올해 1분기와 마찬가지로, ITRC 조사 자료를 토대로 2분기에 발생한 최악의 데이터 침해 사고를 정리했다.
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
4월, 슈너크 마켓스(Schnuck Markets)는 한 해커가 2012년 12월부터 2013년 3월 29일까지 세인트 루이스 지역의 고객 약 200만 명의 신용카드 번호 및 만료일을 해킹했다고 발표했다. 이 회사의 CEO 스콧 슈너크는 이 사고에 대해 공식 사과했다.
6월, 페이스북은 '내 정보 다운로드 받기(Download Your Information)'의 소프트웨어 버그로 사용자 600만 명의 이메일 주소와 전화번호가 다른 사람에게 공개되는 문제가 발생했다고 발표했다. 한 보안 전문가가 발견한 버그로, 페이스북은 이를 수정 조치했다.
5월, 워싱턴주 법원행정처(Administrative Office of the Court)는 해커들이 서버를 해킹해 16만 개의 사회보장번호와 100만 개의 운전면허 번호 사본을 훔쳐갔다고 발표했다. 법원 행정처의 칼리 디에츠는 이에 사과하고, "사이트 보안 강화를 위한 조치를 취했다"고 설명했다.
플로리다 알타몬티 스프링스(Altamonte Springs) 소재 어드벤티스트 헬스 시스템/선벨트(Adventist Health System/Sunbelt)를 상대로 환자의 의료기록을 제대로 보호하지 못했다는 이유로 집단 소송이 제기됐다. 플로리다주 셀레브레이션(Celebration) 소재 병원 응급실에 근무했던 직원 한 명이 2009-2011년 환자 의료 기록을 판매한 사실이 적발됐기 때문이다. 그리고 올해 데일 먼로 II라는 이 직원에게 7년 징역형이라는 유죄가 선고됐다. 먼로는 교통사고 환자 기록을 공범자인 척추지압사에게 판매한 것으로 밝혀졌다.
렌트패스(RentPath, 과거 Primedia)는 5월, 프리미디어 네트워크에 접속할 수 있는 독립 계약자 한 명이 직원과 전직원, 구직자 5만 6,000여 명의 정보가 든 하드웨어를 잃어버렸다고 발표했다.
게인즈빌(Gainsville) 소재 플로리다 주립대학 본교(University of Florida)는 올해 2차례나 신원 도용 가능성에 대해 경고해야 했다. 먼저 4월에는 대학병원에서 근무한 직원 한 명이 신원 도용 범죄 조직과 연루되어 있다는 사실을 발견해 1만 4,339명의 환자들에게 주의할 것을 당부했다. 그리고 5월에도 소아과 의료 시설의 환자 및 환자 부모 5,682명에게 경고해야 했다. 이와는 별개로 6월에는 플로리다 지역의 교사 4만 7,000명의 개인 정보가 데이터 전송 과정에 2주간 인터넷에 노출됐다고 인정했다.
5월, 오클라호마 소재 무선 통신회사들인 테라컴(TerraCom)과 유어텔아메리카(YourTelAmerica)는 언론사인 스크립스 하워드(Scripps Howard) 및 스크립스 하워드 뉴스 서비스 소속 기자들이 '위기에 놓인 프라이버시(Privacy on the Line)'라는 탐사 보도에 사용하기 위한 목적에서, 써드파티 업체의 도움을 받아 약 15만 명에 달하는 잠재 고객들에 대한 기록을 입수했다고 주장했다. 그러나 스크립스는 이런 주장을 인정하지 않았다. 어쨌든, 테라컴과 유어텔은 데이터 침해 사고가 있었다고 인정했다.
지난 봄, 해커들이 여러 회사와 단체가 사용하고 있는 벤디니(Vendini)의 티켓 판매 시스템에 침투해 고객들의 금융 데이터를 훔친 사건이 있었다. 벤디니는 4월 이와 같은 사실을 인정했다. 메인주 검찰청은 2만 2,900명의 주민들에게 이와 같은 사실을 통보했다. 또 미시간 대학(University of Michigan) 홍보 책임자는 미국과 캐나다 전역의 티켓 발매소에서 발생한 해킹 사건으로 티켓 사무소(Union Ticket Office) 고객 3만 3,000명의 정보가 노출됐다고 발표했다.
아이다호 주립 대학(Idaho State University)은 보건후생부에 HIPAA 규정 위반에 따른 40만 달러의 벌금을 지불하기로 합의를 했다. 운영하고 있는 서버의 방화벽 보호 체계가 무너지면서 환자 1만 7,500명의 의료 기록에 데이터 침해 사고가 발생한 것이 이유였다.
5월, 오하이오주 아크론(Akron)시 정부는 터키의 해커 단체 소속으로 추정되는 해커들이 웹사이트 및 내부 시스템을 해킹해 3만 명의 사회보장 번호, 신용카드 번호, 납세 관련 기록을 훔쳤다고 발표했다. 이 해커들은 경찰의 '팁(Tips)' 소개 페이지에 수백 개의 '팁'을 남기기도 했다.
5월, 노스캐롤라이나 소재 피에드몬트 헬스케어(Piedmont Healthcare)는 구직자 1만 명의 사회보장 번호 등 개인 정보가 해킹 당했다고 발표했다. 또 PAA(Presbyterian Anesthesia Associates)는 해커들이 웹사이트 취약성을 이용해 데이터베이스에 침입, 환자 1만 명의 신용 카드 정보 등을 훔쳤다고 공개했다.
5월, 버지니아 뉴포트 뉴스(Newport News) 소재 BSMI(Bon Secours Mary Immaculate) 병원은 간호 조무사 2명을 해고했다고 밝혔다. 환자 5,000명의 전자 의료 기록을 부적절하게 취급했다는 이유에서다. 이 병원은 사법 기관에 데이터 침해 사고를 신고했다. 환자 의료 정보가 불법 사용될 가능성이 있는지 조사를 하기 위해서다. 또 해당 환자들에게 데이터 침해 사실을 통보했다.