미국 대형 통신사 티모바일, 이제 고객 정보 유출이 연례행사

미국의 대형 통신사가 책임을 다하지 못하고 자꾸만 유출 사고를 일으킨다. 엄밀히 말하면 해킹 사고의 피해자이긴 한데, 이런 일이 자꾸만 반복되고 개선은 되고 있지 않으니 시선이 고울 수 없다. 게다가 더 큰 피해는 애꿎은 고객들이 입고 있다.

[보안뉴스 문가용 기자] 미국의 대형 통신사 티모바일(T-Mobile)에서 정보 유출 사고가 발생했다. 아직 수사가 진행되고 있는데 현재까지는 약 4800만 티모바일 고객들이 이 사건의 영향을 받은 것으로 보인다. 하지만 외신인 머더보드에 의하면 이 사건의 배후에 있는 공격자는 1억 명이 넘는 사람들의 개인정보에 접근했다고 주장하는 중이라고 한다.

[이미지 = utoimage]

티모바일이 누군가 불법적으로 데이터에 접근했다는 것을 공식적으로 인정한 건 8월 16일의 일이다. 그리고 다음 날 약 4800만 고객 계정 정보가 도난당한 것으로 보인다고 발표했다. 각 개인의 이름과 성, 생년월일, 사회 보장 번호, 운전 면호 번호 등이 포함되어 있다고 밝혔다. 아직까지는 공격자들이 금융 정보에까지 도달했다는 증거는 나오지 않은 상태다. 티모바일은 고객의 전화번호와 계정 번호, PIN과 비밀번호 역시 안전한 것으로 보고 있다.

티모바일은 공격자들이 최초로 접근했던 지점을 파악했으며, 필요한 조치를 취해 더 이상 접근할 수 없도록 했다고 밝혔다. 또한 이번 사건으로 영향을 받은 모든 사람들에게 아이덴티티 보호 서비스를 무료로 2년 동안 제공할 계획임을 알리기도 했다. 계정 보호 서비스도 일부 고객들에게 제공된다.

하지만 포레스터(Forrester)의 분석가인 앨리 멜렌(Allie Mellen)은 이런 티모바일의 조치에 대해 “없는 것보다 낫지만 문제의 핵심은 비껴가고 있다”고 주장한다. “무료로 아이덴티티 보호 프로그램을 제공한다고 하는데, 이건 결국 데이터 안전에 대한 책임을 다시 사용자에게 돌리는 것과 같습니다. 지난 몇 년 동안 발견되어 온 보안 구멍을 해결하는 대신 가장 손쉽고 편리한 ‘눈 가리고 아웅’식 대책을 마련한 것입니다.”

실제 2018년부터 2021년까지 티모바일에서는 데이터 유출 사고가 5번이나 일어났다. 이번 사건의 경우 아직 상세한 내용이 공개되지 않고 있지만 공격자라고 스스로 주장하는 자는 현재 “티모바일 측이 게이트웨이 GPRS 노드를 잘못 설정했기 때문에 손쉽게 침투할 수 있었다”고 설명하고 있다. 뿐만 아니라 “100개가 넘는 서버에 브루트포스 및 크리덴셜 스터핑 공격을 가했다”고도 하는데, 이것이 사실이라면 티모바일의 서버 관리가 꽤나 소홀했다는 걸 알 수 있다. 즉 공격자의 수준이 높은 게 아니라 방어자의 수준이 낮았다는 것.

멜렌은 “이 주장이 거짓일 수 있지만, 사실이라면 티모바일이 공격자들에게 어서 들어오라고 문을 활짝 열어둔 것과 마찬가지”라고 설명하며 “크고 작은 여러 기업들에서 수도 없이 발견되고 있는 상황이라 놀랄 것도 없다”고 말한다. “하지만 지난 4년 동안 4번의 유출 사고를 겪었던 회사가 이처럼 기본적인 실수를 또 저질렀다는 것 하나만큼은 꽤나 충격적일 수 있습니다.”

보안 업체 옴디아(Omdia)의 수석 분석가인 에릭 파리조(Eric Parizo)는 “티모바일과 같은 기업이 어마어마한 양의 데이터가 유출되는 것도 모르고 있었다는 것도 쉽게 이해하기 힘든 일”이라고 지적한다. “피해를 예방하거나 줄일 기회가 얼마든지 있었다고 봅니다. 기본만 제대로 했어도 말입니다.”

이번 사건으로 수많은 개인들이 보다 정교한 표적 공격에 노출된 꼴이라는 의견도 나오고 있다. 파리조는 “이미 온라인 공간에 어마어마한 개인정보들이 떠다니고 있는데, 여기에 다시 적잖은 데이터가 추가되었다”며 “사회 보장 번호까지 연루되어 있어 공격자 입장에서는 피해자를 특정하기가 더 쉬워졌다”고 경고했다. “기업이 고객 보호의 책임을 다하지 않은 전형적인 사례입니다. 사실 이 사건으로 티모바일이 받을 실질적 피해는, 고객들이 겪을 수 있는 위험보다 적다고 봅니다. 그래서 기업들이 보안 강화에 인색한 것이기도 합니다.”

파리조는 “티모바일이 해야할 일은 무료 아이덴티티 보호 서비스 같은 게 아니”라고 말한다. “근본적으로 내부에 있는 취약한 요소들을 모두 점검해서 보강해야 합니다. 그러지 않으면 매년 똑 같은 유출 사고를 겪고, 똑 같은 피해자들을 양산할 겁니다. 그게 과연 사업에 좋은 일일지는 티모바일이 더 잘 알 것 같습니다.”

3줄 요약
1. 2018년부터 평균 1년에 한 번씩 유출 사고 겪은 티모바일, 올해도 어김없음.
2. 회사는 4800만 고객의 정보가 유출됐다고 하고 공격자는 1억 명의 정보에 접근했다고 하고.
3. 상세한 공격 내용 밝혀지지 않았지만, 매년 당한다는 것 자체가 티모바일의 불성실성 드러냄.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)