세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
국제적인 의료보험 그룹사 부파에서 50만 고객정보 유출
  |  입력 : 2017-07-17 11:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
내부 직원 소행...시스템 관리자로 다양한 정보에 접근 가능해
부파는 법적 조치 취하고 있어...다크넷 알파베이 때마침 폐쇄


[보안뉴스 문가용 기자] 190개 국에서 사업 활동을 벌이고 있는 국제적인 의료보험 그룹사인 부파(Bupa)에서 고객정보가 유출되는 사건이 발생했다. 부파 글로벌(Bupa Global)의 총괄 책임인 쉘던 켄톤(Sheldon Kenton)은 “내부 직원이 고객정보 일부를 부적절하게 복사하고 삭제했다”며 “이 때문에 약 108,000개의 보험 상품 및 정책에 영향이 있을 것으로 예상된다”고 발표했다.

[이미지 = iclickart]


보안 외신인 인포시큐리티매거진에 따르면 해당 직원은 부파 시스템을 담당하던 인물로 약 547,000명의 고객의 정보에 이 같은 행위를 가했다고 한다. 이는 부파가 보유하고 있는 전체 고객의 1/3에 해당하는 숫자다. 쉘던 켄톤은 “고객의 이름, 생년월일, 국적, 연락처와 관리자 정보 등이 새나갔다”고 설명했다. 이 같은 행위를 저지른 시스템 담당자는 당연히 해고됐다.

보통 보안을 전문으로 하지 않는 기업에서 발생한 보안사고는 제3자가 발견하는 게 흔한데, 이번 사건 역시 마찬가지다. 부파의 고객정보가 유출됐다는 사실을 먼저 발견해 알려온 건 보안 업체인 데이터브리치스(DataBreaches)로, “지난 6월 23일 알파베이(Alpha Bay)라는 다크넷 쇼핑몰에서 일부 데이터가 거래되는 것을 목격했다”고 한다. 그 정보를 판매하고 있던 자는 모질(MoZeal)이라는 이름을 사용하고 있었으며, 알파베이에 5월 2일에 막 가입을 마친 ‘새내기’였다고 데이터브리치스는 설명한다. 데이터브리치스는 모질이 내부직원일 것이라고 보고 있다.

데이터브리치스가 공개한 판매 상품 목록은 부파가 공개한 피해 고객 명단보다 훨씬 방대하다고 보안 외신인 시큐리티위크는 보도하고 있다. “모질이 판매하고 있던 것에는 팩스 번호, 이메일 주소, 모바일 및 유선 전화번호 등도 포함되어 있었습니다. 또한 부파는 108,000개의 상품 및 정책에 영향이 갈 것이라고 발표했는데, 모질이 공개한 것에 따르면 영국에서만 130,000명이 피해를 봤습니다. 전체는 547,000명이고요. 회사 측이 말한 숫자와 실제 숫자에 차이가 있죠.”

이에 부파 측은 “108,000 이라는 숫자는 정책과 상품에 관한 것이지 고객의 숫자를 말한 것이 아니었다”며 “108,000개의 상품에 커버되는 고객의 수가 547,000명이다”라고 해명했다. 현재 부파는 해당 고객들에게 사건에 대해 알리면서 사과를 전달하고 있다. 개인정보가 유출됐을 가능성이 높으니 피싱 공격과 아이덴티티 사칭 공격에 주의할 것을 권고하고 있기도 하다.

이러한 ‘악성 내부자 공격’은 정보보안의 풀리지 않는 과제 중 하나로, 특히나 시스템 관리 권한을 가지고 있는 직원의 경우 기업에 상상할 수 없는 피해를 끼치는 게 가능하다는 의견이 자꾸만 제기되기도 했다. 보안 업체 웹루트(Webroot)의 위협 분석 책임자인 데이비드 케널리(David Kennerley)는 “유출된 정보의 종류가 너무나 치명적”이라며 “당사자들은 앞으로 특히나 조심해야 할 필요가 있어 보인다”고 경고했다.

또한 부파는 해당 직원을 대상으로 소송을 진행 중에 있다. “전 직원도 아니고 파트너사 직원도 아닌 본사에서 근무 중에 있던 정보 담당자로, 여러 정보를 관리하는 것이 주 임무였던 자이며, 부파는 그 어떤 합의에도 응할 생각이 없으며 조금의 너그러움도 보이지 않을 계획입니다.” 하지만 부파 측은 언제 이러한 유출 사태를 발견했고, 언제 해당 직원을 해고했는지 정확히 밝히고 있지 않다.

데이터브리치스 측은 “우리가 해당 정보를 다크넷에서 발견한 6월 23일 정도가 부파 측이 발견한 시기일 것”이라고 보고 있다. 그런데 우연찮게도 이런 일이 있은 지 얼마 지나지 않아 다크넷 쇼핑몰인 알파베이가 각국 경찰력에 의해 폐쇄되는 일이 발생했다. 대형 업체인 부파의 고객정보가 팔리던 곳이 폐쇄되었다니, 어떤 연관성이 있는 것 아닐까? 하지만 부파 측은 이에 대해 어떠한 대답도 내놓지 않고 있는 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#부파   #의료   #전세계   #내부   #직원   #다크넷   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)