최근 통신 대기업인 AT&T에서 5,100만 명의 전직 및 현직 고객에게 영향을 미치는 중대한 데이터 유출 사고가 발생한 것으로 확인되었다.

이번 침해사고는 샤이니헌터스(ShinyHunters)로 알려진 위협 행위자가 2021년에 유출 해킹 포럼에 상당한 양의 AT&T 고객 데이터를 판매용으로 등록하면서 처음 발견되었다.

AT&T는 초기에 유출 사실을 부인했지만의 후속 조사 결과 유출된 데이터가 실제로 AT&T 및 다이렉트TV 계정의 소유인 것으로 밝혀졌다. 유출된 정보에는 성명, 이메일 주소, 우편 주소, 전화번호, 주민등록번호, 생년월일, AT&T 계좌 번호, AT&T 비밀번호와 같은 민감한 세부 정보가 포함되어 있었다.

AT&T는 개인 금융 정보와 통화 내역은 유출된 데이터에 포함되지 않았다고 밝혔다. 그러나 노출된 정보는 개인 및 계정별로 다양했으며, 데이터는 2019년 6월 또는 그 이전으로 거슬러 올라간다.

회사는 유출 고객 수에 차이가 있는 이유에 대해 데이터 세트에 여러 개의 계정을 보유한 개인이 있는 반면 민감한 개인 정보가 포함되지 않은 고객도 있기 때문이라고 설명했다. 2024년 3월 17일에 침해 사실을 통보받았음에도 불구하고 AT&T는 2024년 3월 26일에야 침해 사실을 알게 되었다고 주장하고 있다.

이번 유출 사고에 대응하여 AT&T는 피해를 입은 고객에게 1년간 신원 도용 방지 및 신용 모니터링 서비스를 제공하고 있다. 그러나 유출 사실을 확인하고 고객에게 통지하는 데 상당한 시간이 지연되고 데이터가 도난당한 루트가 명확하지 않은 상황이다.

이번 유출 사고로 인해 고객 데이터 보호에 대한 과실과 사고 공개 지연을 이유로 AT&T를 상대로 여러 건의 집단 소송이 제기되었다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★