전체메뉴

[애플경제 전윤미 기자] 해킹 피해는 웬만한 기업 하나쯤은 망하게 할 수 있음을 실감케하는 사건이 미국에서 잇따르고 있다. 앞서 글로벌 클라우드 호스팅 회사인 ‘Code Spaces’가 사이버공격 후유증으로 문을 닫은 사례가 있었다. 최근엔 미국의 대형 정보관리기업 National Public Data(NPD)사가 지난해 연말 당했던 사이버공격의 후유증으로 결국 문을 닫는 사태가 벌어졌다. 이 회사는 최근 “2023년 12월에 발생한 데이터 침해로 인한 재정적 피해와 평판 추락으로 인해 회사를 더 이상 유지할 수 없다”면서 파산을 신청했다.

당시 이 회사가 해킹당하면서 이곳에 저장된 2억 7천만 명의 사용자들의 개인정보가 노출되어 큰 충격을 준 바 있다. 이로 인해 NPD사는 그 후 사이버 공격 피해를 복구하는데만 6개월이 걸렸고, 이를 위해 지불해야 했던 유·무형의 손실을 감당할 수 없어 결국 폐업을 결정한 것이다.

이번 파산 신청은 이 회사의 모기업인 ‘Jerico Pictures Inc.’사의 이름으로 했다. 파산 신청서엔 “2023년 데이터 침해가 회사의 몰락에 직접적인 영향을 미쳤다”고 명시적으로 언급하고 있는 것으로 전해졌다.

이 소식을 전한 외신에 의하면 NPD는 사이버공격으로부터의 회복이 원천적으로 불가능할 수 밖에 없었던 네 가지 주요 원인을 공개했다. 그 중 첫 번째는 집단 소송이었다. 피해자들이나 고객들로부터 이 회사를 상대로 제기된 소송만 12건에 달했다.

또 사법 당국과 정보 보호 기관들도 이 회사에 대한 대대적인 조사에 나섰다. 이에 대응하기 위해 회사로선 모든 자원과 역량을 총동원하느라 정상적인 경영이 힘들었다는 얘기다. 또한 해킹 이전까지 자신의 정보가 특정 기업에 의해 수집되고 있었다는 사실을 몰랐던 사람들의 반발도 컸다. 이들은 사실을 뒤늦게 알고난 후 집단소송 등을 통해 피해 배상을 요구하고 나섰다.

NPD는 또한 사이버 침해로 인해 발생한 평판 피해를 언급하며, 이 사건으로 인해 많은 고객들이 떠났다고 말했다. 앞서 NPD는 관련법에 의해 피해를 당한 개인에게 사실을 통지하고, 신용 모니터링을 제공할 것을 약속했다. 그러나 이미 PII가 유출된 사람들에게 이러한 서비스를 제공하는 데 필요한 기밀 자료 등 자원이 사라져버린 것이다. 이미 노출된 개인정보는 신용 모니터링의 값어치가 없다는 뜻이다.

NPT 데이터 도난 사건은 후유증이 컸다. 그 후 2024년 4월 8일, 사이버공격자 USDoD는 지하 해킹 포럼 ‘Breached’에 NPD에서 도난당한 2억 7,000만 명, 총 29억 개의 기록과 연결된 277.1GB 캐시 데이터를 나열하며, 정보에 대한 액세스 자격을 350만 달러에 판매했다. 도난당한 데이터에는 사회보장번호, 성명, 가족 정보, 현재 및 이전 주소가 포함되어 있다. 사이버공격의 중개자 역할을 한 USDoD는 지난주 브라질 당국에 의해 체포되었지만, 'SXUL'이라고 불리는 데이터를 훔친 주범은 여전히 도주 중이다.

이번 NPD의 파산 신청은 어떤 기업이든 사이버 공격이 직접적인 원인이 되어 사업을 중단할 수도 있음을 보여준 중요한 사례일 수 있다. 이는 전 세계 기업에 경고의 메시지를 던질 만한 사건이다. NPD와 유사한 사례 중 하나는 2014년에도 이미 발생한 적이 있다.

당시 IaaS 분야에서 큰 인기를 끌고 있던 클라우드 호스팅 서비스 회사인 ‘Code Spaces’가 치명적인 랜섬웨어 공격을 받았을 때였다. 이 회사는 처음에는 DDoS 공격을 받았지만 얼마 지나지 않아 공격자들이 회사의 ‘Amazon EC2’ 제어 시스템에 침투, 엄청난 피해를 입혔다.

‘Code Spaces’사는 문제를 세밀히 조사한 결과 사태의 전말을 파악했다. 즉, 공격자가 제어판에 대한 액세스에 성공, 회사의 대부분 데이터와, 백업, 머신 구성, 오프사이트 백업을 부분적 또는 완전히 삭제했다는 것을 발견했다. 이는 이 회사처럼 매우 유망한 기술 회사로서도 치명타가 되었다. 결국 사이버공격 직후 이 회사는 운영을 중단하고 웹사이트에 고별 메시지와 함께 폐업을 공지할 수 밖에 없었다.