보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

프랑스인 3300만 명의 개인정보, 공격자들이 속인 건 단 한 명이었다

입력 : 2024-02-13 15:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
프랑스의 지불 처리 대행 업체인 비아베디스와 알메리스가 각각 침해 사고에 당했고, 이 때문에 수천만 명의 프랑스인들이 개인정보 침해라는 피해를 입었다. 프랑스 역사상 최악의 개인정보 침해 사건으로 꼽힌다.

[보안뉴스 문가용 기자] 프랑스의 데이터 보호 관리 기관인 CNIL이 최근 두 개의 데이터 침해 사건에 대한 조사에 착수했다. 두 사건 모두 지불 처리 기업에서 발생했으며, 프랑스 전체 인구의 절반 가량이 사건의 영향권 아래에 있는 것으로 알려져 있다. 피해자들은 3300만 명으로 추산된다. 프랑스 역사상 최악의 정보 침해 사건이 될 수 있다.

[이미지 = gettyimagesbank]


이 사건에 연루된 두 개의 기업은 비아메디스(Viamedis)와 알메리스(Almerys)다. 주로 건강 보험 분야의 기업들에 지불 처리 기술을 제공하고 관리한다. 먼저는 비아메디스가 당했고, 5일 후 알메리스가 당했다. 비아메디스 측은 “위협 행위자들이 직원 한 명을 겨냥해 피싱 공격을 실시해 성공한 것이 공격의 시작이 됐다”고 발표했다. 알메리스의 경우, 공격자들은 먼저 의료 분야 전문가들이 사용하는 포털에 접근했고, 거기서부터 알메리스로 공격을 확장시켰다.

아직 해당 피싱 공격의 상세 내용은 공개되지 않고 있다.

보안 업체 블랙포그(BlackFog)의 CEO인 대런 윌리엄즈(Darren Williams)는 “의료 분야는 항상 사이버 공격에 노출되어 있다”고 경고한다. “그 말은 병원이나 의료 연구 기관만 주의해야 된다는 게 아닙니다. 의료 기관과 여러 가지 형태로 엮여 있는 여러 기업들과 조직들도 조심해야 한다는 뜻입니다.” 그러면서 그는 이번 사건에 대해 “3300만 명의 개인정보가 유출됐다는 사실의 진정한 피해는 앞으로 장기간에 걸쳐 나타날 것”이라고 예언하기도 했다.

이번에 공격자들이 두 기업으로부터 가져간 정보는 다음과 같다.
1) 결혼 여부와 현재 상태
2) 생년월일
3) 주민등록 번호
4) 건강 보험자 이름 등
하지만 의료 기록이나 재정 정보, 주소, 연락처, 이메일 주소는 무사한 것으로 알려져 있다. CNIL은 침해된 정보와, 이전 침해 사고를 통해 노출된 정보가 합쳐지면 꽤나 강력한 피싱 공격을 할 수 있게 된다고 경고했다.

보안 업체 코펜스(Cofense)의 위협 첩보 분석가인 맥스 가농(Max Gannon)은 “단 한 명의 직원이라도 피싱이나 소셜엔지니어링 공격에 속으면 어마어마한 일이 초래될 수 있다는 게 이번 사건의 교훈”이라고 짚는다. “단 한 명이 수백만에서 수천만의 피해자를 낳을 수 있게 되는 게 현재 우리가 누리고 있고 근거지로 삼고 있는 현대 사이버 공간의 기본적 구조이자, 구조적 한계입니다. 한 사람 한 사람이 올바로 판단하고 행동하는 건 전체에 아무런 영향을 주지 않는데, 실수 한 방은 지표면을 뒤흔들 정도로 무게감이 대단합니다.”

물론 사이버 공격이 정교해지고 있고, 따라서 누군가는 속기 마련이다. 그래서 매일 셀 수 없을 정도의 많은 피싱 공격 및 소셜엔지니어링 공격의 피해자들이 양산되는 것이기도 하다. “그럼에도 한 명이 속았고, 그로 인해 결국 수천만 명이 피해를 입었다는 사실 자체에는 변함이 없습니다. 그렇기 때문에 모든 조직들은 보안 교육이나 훈련을 실시할 때 조직 전체의 수준을 향상시키는 것에만 집중하는 게 아니라 개개인에게도 다가갈 수 있어야 합니다.”

3줄 요약
1. 프랑스에서 3300만 국민의 개인정보가 유출되는 대형 사건이 발생.
2. 이 사고의 근원이 된 건 의료 업계에 있는 지불 처리 대행 기업 두 곳.
3. 그 중 하나는 직원 한 명이 피싱 공격에 속은 것이 문제가 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대