지난 4월, 미국 플로리다주에 본사를 두고 있는 제리코 픽처스(Jerico Pictures Inc.)가 운영하는 내셔널 퍼블릭 데이터(National Public Data. 이하 NPD)는 역대 최대 규모인 30억 명의 개인 데이터 유출 사고를 겪었다.
NPD는 배경 조사 회사로, 다양한 출처에서 수집된 방대한 양의 개인 식별 정보를 보유하고 있다. 이 회사의 데이터베이스에는 이름, 주소, 사회보장번호, 가족 정보 등이 포함되어 있다. 2024년 4월 8일, ‘USDoD’라는 해커 그룹이 다크웹 포럼에서 이 데이터를 350만 달러에 판매한다고 발표했다.
플로리다 남부 지방법원에 제기된 소송에 따르면, USDoD는 "National Public Data"라는 277.1GB 크기의 압축되지 않은 데이터베이스를 게시했다고 한다. VX-언더그라운드 연구원들은 이 데이터의 진위와 정확성을 확인했으며, 사망자와 데이터 옵트아웃 서비스를 사용하지 않은 사람들의 정보도 포함되어 있음을 확인했다.
이번 유출 사건으로 인해 제이코 픽처스를 상대로 집단 소송이 제기되었다. 원고들은 회사가 개인 식별 정보를 적절히 보호하지 못했다고 주장하고 있으며, 소송은 원고와 집단 구성원이 NPD에 자신의 PII를 의도적으로 제공하지 않았다고 강조하고 있다.
유출된 데이터는 피해자들에게 신원 도용, 금융 사기 등 심각한 결과를 초래할 수 있다. 수십 년에 걸친 방대한 데이터와 가족 연결 정보가 포함되어 있어 잠재적 피해가 더욱 커질 전망이다.
전문가들은 이번 유출 사건이 NPD의 네트워크 보안 취약점을 악용했을 가능성이 크다고 분석했다. 특정 공격 벡터를 이해하고 유사한 사건을 방지하기 위해서는 상세한 포렌식 분석이 필요하다. 보안 전문가들은 민감한 데이터를 보호하기 위해 강력한 암호화, 다중 인증, 정기적인 보안 감사의 중요성을 강조하고 있다.
이번 사건은 데이터 수집 및 배경 조사 산업에 큰 영향을 미친다. 대량 데이터를 처리하는 기업들은 보안 프로토콜을 재평가하고 데이터 보호 규정을 준수해야 할 필요가 있다. 또한, 데이터 수집 및 사용 관행에 대한 투명성 강화가 요구된다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
