세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
딕슨즈 카폰에서 영국 최악의 데이터 유출 사고 발생
  |  입력 : 2018-06-14 15:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
590만 개 카드 침해돼 개인정보 120만 건 유출...침해 시점은 1년 전
GDPR과 브렉시트와 겹쳐 어떤 법 적용하느냐가 관건...벌금은 GDPR이 더 커


[보안뉴스 문가용 기자] 영국의 브랜드인 딕슨즈 카폰(Dixons Carphone)에서 대규모 보안 사고가 발생했다. 딕슨즈 카폰의 발표에 의하면 “커리즈 PC 월드(Currys PC World)와 딕슨즈 트래블(Dixons Travel) 스토어에서 일어난 침해로 590만 개의 카드가 침해됐고, 더불어 120만 건의 기록들이 유출됐다”고 한다. 이 기록들에는 이름, 주소, 이메일 주소 등이 포함되어 있는 것으로 나타났다.

[이미지 = iclickart]


영국 외신들은 “영국 역사상 최악의 침해 사고일 가능성이 높다”고 점치고 있다. 하지만 현재까지 딕슨즈 카폰이 발표한 것 외에는 이번 사고에 대해 알려진 정보가 없다. 용의자에 대해서도 아무런 언급이 없는 상태다. 다만 일부 보도에 의하면 “공격은 약 1년 전부터 시작됐다”고 하는데, 그 시점이 2017년 7월이라고 한다.

이 보도가 나온 이후, 궁금증은 “그렇다면 발표까지 왜 1년이나 걸렸나”로 쏠리고 있다. 아직 기술적인 세부 사항이 하나도 발표되지 않은 상태에서 발표가 1년이나 늦었다는 것 때문에, “평소 딕슨즈 카폰은 어떤 식으로 데이터를 다루고 있었는가?”, “유출 사고 보고 및 통보에 관한 정책은 어떻게 되는가?”, “GDPR 위반으로 판단될 경우 벌금이 얼마나 나올 것인가?”하는 질문들이 쏟아지고 있다.

영국의 개인정보보호감독기구인 ICO는 아직 아무런 정보도 제공하지 않고 있다. 다만 대변인을 통해 “수사 초기 단계에 있으며, 그렇기 때문에 공개할 내용이 없다”고 발표했을 뿐이다. 심지어 영국은 현재 브렉시트를 준비 중에 있기 때문에 이 사건을 영국의 데이터 보호법으로 처리해야 하는지, 혹은 GDPR 규정에 근거하여 수사를 진행해야 하는지 판단하는 데 어려움이 있는 것으로 보인다.

GDPR과 관련해서는 문제가 간단치 않다. 사고가 일어난 시점이 GDPR 발효 이전이기 때문이다. 그렇기 때문에 딕슨즈 측이 사고를 어느 시점에 인지했느냐가 중요해진다. 그러나 이에 대해서 발표된 내용이 아무 것도 없다. 만약 GDPR이 적용되는 사고라고 판단이 된다면 ICO는 전체 수익의 4%를 벌금으로 내야 한다. 작년 딕슨즈의 총 판매액은 140억 달러였다. 1998년의 데이터보호법이 적용된다면 최대 벌금이 67만 달러가 될 예정이다.

어떤 법이 적용되든 딕슨즈 측은 해당 사고를 공개하는 데 1년여의 시간이 걸렸다는 것에 대한 해명을 반드시 해야 한다. 법무사 사무소 씽크마블(ThinkMarble)의 데이터 보호 전문 변호사인 로버트 워살(Robert Wassall)은 “이 사건은 두 가지 측면으로 볼 수 있다”고 말한다. “먼저는 취약점 스캐닝과 보안 점검을 통해 이러한 사실을 파악했다는 게 다행스럽다는 것이고, 사건이 일어나고 한참 후까지 알아내지 못했다는 게 안타깝습니다.”

보안 업체 로그리듬(LogRhythm)의 부사장인 로스 브루어(Ross Brewer)는 훨씬 가혹하게 말한다. “사건의 규모도 그렇고, 발표한 시기도 그렇고, 여러 모로 역사에 길이 남을 최악의 사건입니다. 작년 7월에 침투를 실시했는데 이제야 발표가 나다니요. 이렇게 큰 회사의 보안 상태가 충격적일 정도로 엉망인 것이 분명합니다.”

또 다른 보안 업체 하이테크 브리지(High-Tech Bridge)의 CEO 일리야 콜로첸코(Ilia Kolochenko)의 반응은 사뭇 옹호적이다. “작년에 침해된 기록들만 해도 수백억 건에 달합니다. 그 중에서 딕슨즈에서 발생한 사고가 차지하는 비율은 크다고 말하기 힘듭니다. 이런 식의 유출 사고는 사실 매일 일어난다고 말해도 결코 과장이 아닙니다. 다만 밝혀지지 않고 발표되지 않을 뿐이죠. 이번에 유출된 데이터로 인한 악성 행위나 범죄가 발생하기 전까지는 딕슨즈를 비판한다는 건 섣부릅니다. 오히려 이들이 아무런 실질적인 피해가 일어나지 않은 상황에서 사고를 숨기지 않고 발표했다는 걸 칭찬해야 합니다. 솔직히 유야무야 덮고 넘어가려는 회사가 얼마나 많은지 다 알고 있지 않은가요?”

딕슨즈 카폰의 CEO인 알렉스 볼독(Alex Baldock)은 “파악 중에 있지만 아직까지는 유출된 정보에서 비롯된 사기 사건이나 추가 피해는 없었다”고 주장한다. 그러므로 피해자가 특별히 걱정할 것이 없다는 뜻이다. “유출된 정보 중 CVV와 관련된 데이터는 하나도 없습니다.” 하지만 개인정보를 통한 소설 엔지니어링 공격이나 표적형 피싱 공격에 대한 위험성에 대해서는 언급하지 않았다.

또 다른 보안 업체 트러스티드 나이트(Trusted Knigth)의 위협 첩보 담당자인 트레버 레쉬(Trevor Resche)는 “별 피해가 아니라는 듯한 뉘앙스로 발표가 되고 있는데, 개인정보가 유출됐다는 것은 장기적인 피해로 봐야 한다”고 주장한다. “지금 당장이야 직접적인 피해가 없는 것처럼 보이지만, 이 데이터가 범죄 시장에 넘어갔다면 언제나 공격이 시작될 수 있다는 뜻이 되거든요.”

영국에서는 여러 정부 기관과 금융 감독 기관에서 이 사건을 검토하고 있다. 여러 사이버 보안 전문가들도 정부 기관의 수사에 도움을 주고 있으며, 수사가 정상적으로 진행되고 있는 듯 하다. 하지만 아직까지 수사 진행 과정에 대한 공식적인 발표는 없다. 그런데다가 GDPR과 브렉시트라는 중요한 이슈 모두에 발을 걸치고 있는 사건이라 세계 보안 업계의 궁금증이 더 커지고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)