Home > 전체기사
스페인 대형 통신사, 고객 정보 암호화하지 않고 해킹당해
  |  입력 : 2018-07-17 19:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
연간 수익 530억 달러 규모의 세계 10위권 통신사지만
고객 정보 저장된 스프레드시트에 암호화 장치 적용되지 않아


[보안뉴스 문가용 기자] 스페인의 통신업체 텔레포니카(Telefonica)가 이번 주 월요일 해킹을 당했다. 고객 정보 수백만 건이 이 사고를 통해 유출된 것으로 보인다.

[이미지 = iclickart]


유출된 정보는 고객의 신원, 지불 관련, 일반 전화번호, 모바일 전화번호, 주민등록 번호, 주소, 은행 정보, 이름, 통화 기록 등이며, 스페인 일간지인 엘 에스파뇰(El Espanol)에 의하면 아직까지 이러한 정보를 통한 사기성 행위들이 발견되지는 않았다.

텔레포니카는 공격을 허용한 오류를 발견해 수정한 상태다.

클라우드 보안 업체 사이퍼클라우드(CipherCloud)의 CEO 프라빈 코타리(Pravin Kothari)는 “아직까지 해당 사건으로 인한 영향력을 전부 파악하지는 못하고 있다”며 “시간이 조금은 더 걸릴 것”이라고 밝혔다.

코타리는 “텔레포니카는 530억 달러의 수익 규모를 자랑하는, 전 세계 10위권 안에 드는 통신회사”라며, “그런 회사의 고객 정보가 암호화되지 않은 스프레드시트에 저장되어 있어, 누구나 다운로드 후 쉽게 열람할 수 있도록 설정되어 있었다”고 밝혔다.

“결국 뭔가 허점을 방치해두면 해커들이 반드시 들어오게 되어 있습니다. 큰 회사건 작은 회사건 상관이 없습니다. 날 보지는 못하겠지, 라고 생각하는 건 이제 시대착오라고 부를 수 있는 수준의 사고방식입니다.”

텔레포니카의 데이터가 암호화로 보호되어 있었다면 GDPR 벌금 걱정을 하지 않아도 되었을 것이라고 코타리는 설명한다. “왜냐하면 공격자들이 스프레드시트를 가져갔다 한들 데이터를 열람할 수는 없었을 테니까요. 그러므로 침해사고가 발생하지 않은 것과 같죠.”

하지만 텔레포니카는 개인정보의 암호화를 하지 않은 채 공격을 당한 것이므로 GDPR 규정의 적용을 받게 될 것이라고 코타리는 말한다. “이제 텔레포니카는 GDPR의 규정대로 고객들에게 알리고, 그 다음 절차를 밟아가야 합니다. 아마도 굉장히 비싼 값을 치르게 될 겁니다.”

코타리는 “지난 5월 GDPR이 발효되고 나서부터 유럽에서 생기는 모든 개인정보 관련 사고는 그 자체로 기업들에게 ‘알려지지 않은 위험부담’이다”라고 묘사한다. “아무도 어떤 식으로 GDPR이 발동할지 경험해보지 못했거든요. 다만 굉장히 큰 벌금을 내고 대가를 치러야 한다는 것만 알고 있죠. 이제 곧 GDPR 감사가 시작될 건데, 모든 보안 업계가 이를 지켜볼 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)