데이터 유출은 간단한 해답 없이 끊임없이 발생하는 문제처럼 보인다. 그러나 이력 검증 서비스인 내셔널 퍼블릭 데이터(National Public Data)의 데이터가 지난 몇 달간 유출된 사실은 데이터 침해 문제가 다루기 어려운 수준으로 위험한 문제가 되었음을 보여준다. 4개월간 데이터 유출 문제가 모호한 상태로 남아있었으나 2024년 8월 들어 내셔널 퍼블릭 데이터의 문제 집중 조사가 시작되었다. 마침내 2024년 8월 12일(현지 시각), 내셔널 퍼블릭 데이터 측은 탈취 데이터가 온라인에 공개되었다는 사실을 인정했다.
2024년 4월, 탈취 정보 판매 활동으로 유명한 해커 조직 USDoD가 사이버 포럼에서 350만 달러에 다량의 데이터를 판매할 기회를 노리기 시작했다. USDoD가 판매한다고 주장한 데이터는 29억 건의 기록과 미국, 캐나다, 영국 인구 전체 데이터 유출 사항이 포함되었다. 그리고 몇 주간 다른 해커 세력이 게재한 탈취 데이터 샘플이 온라인에 등장하기 시작했다. 이에, 복수 사이버 보안 연구원은 데이터 유출 출처 파악 및 해커 세력이 유출되었다고 주장하는 정보 검증 작업을 시작했다. 2024년 6월 초 유출된 데이터 중 적어도 일부 데이터는 사실임이 확인되었으며, 이름과 이메일 주소, 실제 거주지 주소 등 많은 이들의 정보가 조합된 데이터가 유출 데이터에 포함된 것으로 드러났다.
해커 세력이 공개한 데이터가 100% 정확한 것은 아니지만, 두 가지 이상의 정보를 대거 포함한 것으로 확인됐다. 유출된 다량의 정보에는 실제 이메일 주소 1억 개가 담겨있었다. 두 번째로 유출된 데이터에는 사회보장번호 등 다른 민감 정보가 유출 정보에 포함된 것으로 나타났다. 다만, 두 번째 유출 데이터에는 이메일 주소가 포함되지 않았다.
[사진=Unsplash]
2024년 8월 12일, 내셔널 퍼블릭 데이터는 “일부 인구의 개인 정보 유출 사태를 포함한 데이터 보안 사건을 발견했다. 외부 해커 세력이 2023년 12월 말 데이터 해킹을 시도하여 유출되었으며, 2024년 4월과 2024년 여름에 특정 데이터가 유출되었을 위험성이 있다. 유출된 정보에는 이름, 이메일 주소, 연락처, 사회 보장 번호, 우편 주소 등이 포함되었다”라는 내용의 공식 성명을 발표했다.
내셔널 퍼블릭 데이터는 법률 집행 기관, 정부 조사 기관과 협력 중이라고 밝혔다. 현재 내셔널 퍼블릭 데이터는 데이터 유출 사태 문제로 집단 소송 대상이 될 수도 있다.
내셔널 퍼블릭 데이터의 데이터 유출 사태 조사를 담당한 보안 연구원 제레미아 파울러(Jeremiah Fowler)는 “끊임없는 개인 데이터 유출 문제가 민감하지 않은 문제가 되었다. 그러나 이번 사태의 위험성이 심각한 것은 사실이다”라며, “그 위험성은 즉각 드러나지 않을 것이다. 또, 여러 해커 세력 중 한 명이 유출된 데이터를 이용한 방식을 제대로 파악하는 데 몇 년이 걸릴 수도 있다. 그러나 데이터 유출 여파가 발생할 것이라는 점이 기본적인 사실이다”라고 말했다.
타겟(Target)의 고객 데이터 유출 사태와 같이 한 곳에서 특정 출처 한 곳에서 데이터 탈취가 발생했다면, 비교적 직접 데이터 유출 출처를 찾을 수 있다. 그러나 데이터 중개 기관이 데이터 유출 원인이 된 데다가 기업이 직접 문제를 보고하지 않은 상태라면, 유출된 정보가 실제 정보라는 점과 정보 출처를 모두 파악하는 일이 더 복잡해진다. 데이터 유출 피해를 겪은 진짜 피해자는 내셔널 퍼블릭 데이터가 개인 정보를 보유한 사실 자체를 인지하지 못한 사례가 일반적일 것이다.
2024년 8월 14일(현지 시각), 보안 연구원 트로이 헌트(Troy Hunt)는 내셔널 퍼블릭 데이터의 콘텐츠와 정보 출처를 설명하는 블로그 게시글을 통해 “데이터 유출 사태의 진실을 아는 유일한 당사자는 데이터를 여기저기 건넨 익명의 해커 세력이다. 현재 이메일 주소 1억 3,400만 개가 온라인 어디에선가 유포되는 상태이며, 그 출처나 데이터 유출 책임이 분명하지 않다”라고 말했다.
데이터 중개 기관이 데이터 유출 사실을 인정한 상황이더라도 탈취된 데이터 내용을 믿기 어렵다. 또, 유출된 데이터를 다른 데이터세트와 결합하거나 다른 방식으로 처리할 수도 있다. 헌트 연구원은 데이터세트에 포함된 이메일을 정확하지 않은 개인 정보와 조합하고는 복제하여 쓸모없는 정보를 늘릴 수 있다고 설명했다.
사용자가 이메일 주소 유출 여부를 검색할 수 있는 웹사이트인 Have I Been Pwned를 운영하는 헌트 연구원은 “사회 보장 번호 유출 파일에는 이메일 주소 정보가 없다. Have I Been Pwned를 통해 데이터 유출 피해를 겪은 사실을 확인해도 사회 보장 번호도 유출되었는지 확인할 수는 없다. 혹은 데이터 유출 사실을 확인한 후에도 개인 기록과 함께 유출 정보로 조합된 정보가 정확하지 않을 수도 있다”라고 말했다.
사회 보장 번호 유출 피해를 겪었다면, 신원 탈취 위험성이 내재해 있다. 따라서 피해자는 신용카드, 신용 보고 관리, 금융 모니터링 서비스 설정 등을 할 수밖에 없다. 실제로 지난 며칠간 많은 이들이 신용 관리 및 위협 정보 서비스를 통해 데이터 유출 경고 알림을 받기 시작했다. 탈취 피해가 발생한 데이터 종류를 완벽하게 파악할 수 있는 것은 아니지만, 복수 보안 연구원은 해커가 외부로 건넬 수 있는 다량의 정보 자체도 해커 세력이 수년간 압축한 다량의 개인 데이터와 결합하여 조화가 이루어진다면, 스캠, 사이버 범죄, 감시 위험성을 초래할 수 있다고 경고한다.
파울러 연구원은 “각각의 데이터 유출 사태를 퍼즐 조각 하나처럼 볼 수 있다. 해커 세력과 특정 국가 산하 해커의 데이터 수집 행위는 계속 이어진다. 데이터 유출 사태 여러 건을 체계적으로 결합하여 조합한다면, 개인의 전체 정보와 데이터 파일을 검색할 방법으로 다량의 데이터가 유출될 것이다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202408/5767_7419_853.jpg)
뉴스레터 신청