Home > 전체기사
딕슨즈 카폰에서 영국 최악의 데이터 유출 사고 발생
  |  입력 : 2018-06-14 15:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
590만 개 카드 침해돼 개인정보 120만 건 유출...침해 시점은 1년 전
GDPR과 브렉시트와 겹쳐 어떤 법 적용하느냐가 관건...벌금은 GDPR이 더 커


[보안뉴스 문가용 기자] 영국의 브랜드인 딕슨즈 카폰(Dixons Carphone)에서 대규모 보안 사고가 발생했다. 딕슨즈 카폰의 발표에 의하면 “커리즈 PC 월드(Currys PC World)와 딕슨즈 트래블(Dixons Travel) 스토어에서 일어난 침해로 590만 개의 카드가 침해됐고, 더불어 120만 건의 기록들이 유출됐다”고 한다. 이 기록들에는 이름, 주소, 이메일 주소 등이 포함되어 있는 것으로 나타났다.

[이미지 = iclickart]


영국 외신들은 “영국 역사상 최악의 침해 사고일 가능성이 높다”고 점치고 있다. 하지만 현재까지 딕슨즈 카폰이 발표한 것 외에는 이번 사고에 대해 알려진 정보가 없다. 용의자에 대해서도 아무런 언급이 없는 상태다. 다만 일부 보도에 의하면 “공격은 약 1년 전부터 시작됐다”고 하는데, 그 시점이 2017년 7월이라고 한다.

이 보도가 나온 이후, 궁금증은 “그렇다면 발표까지 왜 1년이나 걸렸나”로 쏠리고 있다. 아직 기술적인 세부 사항이 하나도 발표되지 않은 상태에서 발표가 1년이나 늦었다는 것 때문에, “평소 딕슨즈 카폰은 어떤 식으로 데이터를 다루고 있었는가?”, “유출 사고 보고 및 통보에 관한 정책은 어떻게 되는가?”, “GDPR 위반으로 판단될 경우 벌금이 얼마나 나올 것인가?”하는 질문들이 쏟아지고 있다.

영국의 개인정보보호감독기구인 ICO는 아직 아무런 정보도 제공하지 않고 있다. 다만 대변인을 통해 “수사 초기 단계에 있으며, 그렇기 때문에 공개할 내용이 없다”고 발표했을 뿐이다. 심지어 영국은 현재 브렉시트를 준비 중에 있기 때문에 이 사건을 영국의 데이터 보호법으로 처리해야 하는지, 혹은 GDPR 규정에 근거하여 수사를 진행해야 하는지 판단하는 데 어려움이 있는 것으로 보인다.

GDPR과 관련해서는 문제가 간단치 않다. 사고가 일어난 시점이 GDPR 발효 이전이기 때문이다. 그렇기 때문에 딕슨즈 측이 사고를 어느 시점에 인지했느냐가 중요해진다. 그러나 이에 대해서 발표된 내용이 아무 것도 없다. 만약 GDPR이 적용되는 사고라고 판단이 된다면 ICO는 전체 수익의 4%를 벌금으로 내야 한다. 작년 딕슨즈의 총 판매액은 140억 달러였다. 1998년의 데이터보호법이 적용된다면 최대 벌금이 67만 달러가 될 예정이다.

어떤 법이 적용되든 딕슨즈 측은 해당 사고를 공개하는 데 1년여의 시간이 걸렸다는 것에 대한 해명을 반드시 해야 한다. 법무사 사무소 씽크마블(ThinkMarble)의 데이터 보호 전문 변호사인 로버트 워살(Robert Wassall)은 “이 사건은 두 가지 측면으로 볼 수 있다”고 말한다. “먼저는 취약점 스캐닝과 보안 점검을 통해 이러한 사실을 파악했다는 게 다행스럽다는 것이고, 사건이 일어나고 한참 후까지 알아내지 못했다는 게 안타깝습니다.”

보안 업체 로그리듬(LogRhythm)의 부사장인 로스 브루어(Ross Brewer)는 훨씬 가혹하게 말한다. “사건의 규모도 그렇고, 발표한 시기도 그렇고, 여러 모로 역사에 길이 남을 최악의 사건입니다. 작년 7월에 침투를 실시했는데 이제야 발표가 나다니요. 이렇게 큰 회사의 보안 상태가 충격적일 정도로 엉망인 것이 분명합니다.”

또 다른 보안 업체 하이테크 브리지(High-Tech Bridge)의 CEO 일리야 콜로첸코(Ilia Kolochenko)의 반응은 사뭇 옹호적이다. “작년에 침해된 기록들만 해도 수백억 건에 달합니다. 그 중에서 딕슨즈에서 발생한 사고가 차지하는 비율은 크다고 말하기 힘듭니다. 이런 식의 유출 사고는 사실 매일 일어난다고 말해도 결코 과장이 아닙니다. 다만 밝혀지지 않고 발표되지 않을 뿐이죠. 이번에 유출된 데이터로 인한 악성 행위나 범죄가 발생하기 전까지는 딕슨즈를 비판한다는 건 섣부릅니다. 오히려 이들이 아무런 실질적인 피해가 일어나지 않은 상황에서 사고를 숨기지 않고 발표했다는 걸 칭찬해야 합니다. 솔직히 유야무야 덮고 넘어가려는 회사가 얼마나 많은지 다 알고 있지 않은가요?”

딕슨즈 카폰의 CEO인 알렉스 볼독(Alex Baldock)은 “파악 중에 있지만 아직까지는 유출된 정보에서 비롯된 사기 사건이나 추가 피해는 없었다”고 주장한다. 그러므로 피해자가 특별히 걱정할 것이 없다는 뜻이다. “유출된 정보 중 CVV와 관련된 데이터는 하나도 없습니다.” 하지만 개인정보를 통한 소설 엔지니어링 공격이나 표적형 피싱 공격에 대한 위험성에 대해서는 언급하지 않았다.

또 다른 보안 업체 트러스티드 나이트(Trusted Knigth)의 위협 첩보 담당자인 트레버 레쉬(Trevor Resche)는 “별 피해가 아니라는 듯한 뉘앙스로 발표가 되고 있는데, 개인정보가 유출됐다는 것은 장기적인 피해로 봐야 한다”고 주장한다. “지금 당장이야 직접적인 피해가 없는 것처럼 보이지만, 이 데이터가 범죄 시장에 넘어갔다면 언제나 공격이 시작될 수 있다는 뜻이 되거든요.”

영국에서는 여러 정부 기관과 금융 감독 기관에서 이 사건을 검토하고 있다. 여러 사이버 보안 전문가들도 정부 기관의 수사에 도움을 주고 있으며, 수사가 정상적으로 진행되고 있는 듯 하다. 하지만 아직까지 수사 진행 과정에 대한 공식적인 발표는 없다. 그런데다가 GDPR과 브렉시트라는 중요한 이슈 모두에 발을 걸치고 있는 사건이라 세계 보안 업계의 궁금증이 더 커지고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제