글로벌 데이터 백업전문업체 NPD, 방대한 소장정보 탈취당해
해커그룹 ‘USDoD’, 지하 사이트에 “29억명 넘는 개인정보 게시할 것”
美선 NPD 상대 집단소송, “내 허락없이 NPD가 무단수집, 유출당해”

미국에선 30억명의 개인정보를 탈취한 것으로 추청되는 사건이 발생, 집단 소송이 벌어지고 있다. (사진=게티이미지)
미국에선 30억명의 개인정보를 탈취한 것으로 추청되는 사건이 발생, 집단 소송이 벌어지고 있다. (사진=게티이미지)

[애플경제 전윤미 기자] 각종 해커들이 정보를 공유하는 지하 사이트 ‘Breached’에 “전세계 30억명의 개인정보 데이터를 갖고 있다.”는 게시글이 올라와 충격을 주고 있다. 이 말이 사실이라면, 세계 인구의 40% 가까운 사람들의 개인정보가 해커들에게 털려, 만천하에 공개될 운명이다.

‘사회보장번호, 성명, 가족, 현재 및 과거 주소’ 등

‘블룸버그 로(Law)’, IT프로 등에 따르면 이들 해커들은 지난 4월, 전세계 데이터 백업자료를 소장하고 있는 NPD를 공격, 이런 방대한 데이터를 탈취한 것으로 알려졌다. 지난 4월 8일 사이버공격자인 ‘USDoD’는 다크 웹에 호스팅된 인기 사이트인 ‘Breached’에 미국의 백그라운 체크 서비스인 ‘National Public Data’(NPD) 사이트를 게시하며 이같은 사실을 밝혔다.

이들은 “NPD를 통해 탈취한 전 세계 29억 명의 개인과 연결된 개인정보가 있다”고 주장했다. USDoD는 “사회보장번호, 성명, 가족 정보, 현재 및 과거 주소와 같은 민감한 정보가 들어 있다”고 주장해 놀라움을 안겼다.

이에 NPD 정보에 포함된 사람들중 일부가 NPD를 상대로 집단소송을 제기하면서 이런 사실이 널리 알려지게 되었다.

피해를 당한 NPD는 비공개 소스에서 개인의 개인 식별 정보(PII)를 스크래핑하는 백그라운드 체크 서비스를 전문으로 한다. 그런 만큼, 방대한 개인정보에 접속할 수 있는 여지가 있는 셈이다.

데이터파일 ‘29억 개 행’, 277.1GB, “350만달러에 판매”

유출된 데이터는 2019년부터 2024년까지의 데이터로 알려졌다. 데이터 파일엔 29억 개의 행이 있으며, 압축 해제 시 277.1GB에 해당한다. “이를 원하는 사용자는 350만 달러에 액세스 권한을 구매할 수 있다”는 ‘USDoD’의 얘기다. ‘USDoD’는 또한 “구매자에게 NPD 서버에 액세스할 수 있는 자격 증명을 제공할 것”이라고 장담하기도 했다. 그 말대로라면 NPD와, 그 안의 29억~30억명의 개인정보는 이미 속수무책의 무방비 상태가 된 것이나 다름없다.

이런 희대의 사이버공격이 어떻게 발생했는지는 명확하지 않다. 다만 ‘USDoD’는 2024년 4월 이전에 네트워크에 액세스한 것만은 분명하다. 그들 표현대로 수십억 명의 사람들의 암호화되지 않은 개인 정보를 빼냈는지 여부는 좀더 확인과 조사가 필요한 대목이다.

만약 그들 말대로 30억명 가까운 사람들의 개인정보가 털렸다면, 이는 사이버범죄 역사상 최대의 해킹 사건임에 틀림없다. 다크 웹 감시자 ‘vx-underground’는 “본래 ‘USDoD’는 NPD와 그 대표자인 제리코 픽처스가 처음 상장을 할 때 단순한 중개인 내지 중개자 노릇을 했던 존재”라고 언급했다.

(사진=픽사베이)
(사진=픽사베이)

피해자들 “NPD가 내 정보 수집 사실조차 몰라”

더욱 문제는 NPD가 그 동안 비공개 소스에서 개인식별정보를 수집해왔기 때문에 수많은 사람들이나 기업들이 자신의 민감한 데이터에 타인이 액세스할 수 있다는 사실조차 모르고 있다는 점이다. 또한 다크 웹에 유출되었을 가능성조차 알지 못하고 있다는 것이다.

‘Vx-underground’는 “그러나 데이터베이스에 데이터 옵트아웃 서비스를 사용하는 개인의 정보가 포함되어 있지 않을 수도 있다”고 덧붙였다. 그러나 이번에 소송에 참여한 사람들은 대부분 그럴 여지가 없는 사례인 것으로 알려졌다.

집단 소송을 대표하는 ‘호프만’이란 사람은 “신원 도용 보호 전문업체로부터 ‘NPD가 침해받으면서 그 직접적인 결과로 당신의 개인식별정보가 손상되었다는 연락을 받았고, 그 후 다시 나의 정보가 다크웹에 유출되었다는 알림을 받았다”고 법원 서류를 통해 주장했다.

그는 또 “개인식별정보를 NPD에 직접 제공한 적도 없으며, 이번처럼 정보가 기밀로 유지되지않고, 누출을 방지하기 위한 적절한 예방 조치가 취해지지 않은 줄 알았다면 절대 제공하지 않았을 것”이라고 맹비난을 퍼부었다.

“NPD, 정보유출방지 의무 소홀” 맹비난

언론이 소개한 법원 문서에 따르면 호프만과 다른 피해자들은 현재도 과거에도 결코 NPD의 고객인 적이 없었다. 그럼에도 “NPD와 그 대표자 제리코 픽처스가 동의 없이 비공개 소스에서 개인식별정보를 표적으로 삼아 채굴하고, 스크래핑하는 바람에 이런 불행을 겪고 있다”고 비난의 화살을 퍼부었다.

집단 소송인들은 또 “제리코 픽처스가 이번 피해를 본 개인들의 개인식별정보를 획득, 수집, 사용하고, 그로부터 이익을 얻었다면, 결코 데이터가 공개되지 않도록 보호할 책임이 있다는 사실을 알고 있었거나, 적어도 알았어야 했다”고 지적하고 있다.

이번 소송 참가자들은 사생활 침해, PII의 가치 상실이나 감소, 침해의 결과를 완화하려는 시도와 관련된 기회비용 손실 등 이 사고로 인해 발생한 일련의 손해에 대한 총체적 손해배상을 요구하고 있다.

키워드

#사이버공격 #해킹 #30억명 #개인정보 #유출 #보안 #사이버보안
저작권자 © 애플경제 무단전재 및 재배포 금지