Breaking
국제 범죄(International Conflict)
NBA 팀 인디애나 페이서스, 지난해 피싱 공격 받아…6개월 늦은 발표 논란
2019-06-26 18:29:55
김지연
▲인디애나 페이서스의 스포츠 프랜차이즈 PSE가 보안 침해를 당했다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 프랜차이즈 '페이서스 스포츠 앤 엔터테인먼트(PSE)'는 NBA 팀 일부가 지난 10일 보안 침해를 당했다고 밝혔다.

미국 NBA의 프로농구팀인 인디애나 페이서스와 인대애나 피버 NBA, WNBA 팀 등이 대상이다.

PSE는 해커들이 무단으로 회사 서버에 저장된 사용자들의 개인 정보에 접근한 것으로 보인다고 설명했다.

이번 사건이 공격자가 이메일을 통해 목표 타깃에 침투하는 행위인 피싱 공격일 것으로 진단했는데 피싱 공격은 주로 이메일 파일을 연 피해자가 악성코드를 기기에 설치하도록 유호하는 방식으로 정보를 탈취하는 수법이다.

이번 PSE의 경우 공격자가 고객 혹은 직원들의 정보들이 저장된 회사의 서버에 무단으로 접근해 데이터를 침해한 것으로 보인다. 이로 인한 데이터 침해의 범위도 광범위한 것으로 알려진다.

이름과 유저네임을 비롯한 비밀번호, 집 주소, 생년월일, 의료 정보, 여권 번호, 운전면허번호, 건강보험 정보, 결제 카드 정보, 디지털 서명 및 계좌 번호 등이 포함됐다.

▲이름과 유저네임을 비롯한 비밀번호, 집 주소, 의료 정보, 운전면허번호, 결제 카드 정보 등이 영향을 받은 것으로 나타난다

 

사건 발생 6개월 후...늦은 발표

PSE는 이번 사건과 관련, 침해를 발견한 제3자 법의학 조사관과 함께 조사를 실시했다고 밝혔다. 그 결과 사이버 공격자들은 지난해부터 이 조직의 서버를 손상시키고 있었던 것으로 나타났다.

조직이 게시한 회사의 보안 공지에 따르면, 해커들은 이미 지난해 10월에 무단 접속을 한 상태였다. 바로 작년 10월 15일 불법 계정 접속이 시작된 것으로 이후 12월 4일까지 이 행위는 지속됐다.

이 6주동안 해커들은 서버에 무단으로 접속했으며, 접속 시간 역시 그때마다 달랐던 것으로 확인됐다.

회사측은 알려지지 않은 대상이 이 기가 동안 다양한 시간대에 허가없이 계정에 접속했다며, 이들 이메일 계정을 철저히 검토한 결과 영향을 받은 이메일에 제한된 수의 개인 기록들이 존재한 것으로 확인됐다고 밝혔다.

이후 개인들에게 사건에 대한 통지를 개별적으로 할 수 있도록 연락처 등 여러 방편으로 노력해왔다고 덧붙였다.

그러나 여기서 한 가지 짚고 넘어가야 할 사항이 있다. 바로 보안 사건은 몇 달전에 발생했지만, PSE가 보도 자료를 통해 침해 사실을 공개한 것은 최근이라는 사실이다.

회사측은 사건이 지난해 발생했으며 그동안 조사에 착수하며 부지런히 노력했다고 밝혔지만 사실 이 사건을 인지한 것은 지난해 11월 16일 경이었던 것으로 알려진다.

이에 고객과 직원들에 대한 정보 침해를 공개하는데 무려 6개월 가량이나 걸렸다는 사실은, 정보 침해를 당한 당사자들에게는 가히 경악스러운 처사가 된다.

이와 관련해 루시 시큐리티의 최고경영자(CEO) 콜린 바스타블은 "인대애나의 이번 공격은 지난해 발생했기 때문에 조직이 이 침해 보고를 늦추는 경향을 보인 것 같다"고 지적했다.

PSE는 현재 잠재적으로 영향을 받을 수 있는 개인들에게 이 사건에 대해 알리면서, 정보를 보호할 수 있는 특정 단계를 수행할 수 있도록 당부하고 있다.

동시에 증거 부족을 이유로 현재까지 고객이나 직원들의 정보 오용에 대한 어떠한 의심스러운 행위도 보고하지 않고 있다.

다만 고객들에게 데이터 침해에 대한 보상으로, 당사자가 원할 경우 신용 보고서에 보안 동결을 요청하거나 사기 경보를 발령하는데 상요할 수 있는 연락처 목록 등의 무료 신용 감시 서비스를 제공하고 있다.

▲PSE는 정보 침해를 공개하는데 무려 6개월 가량이나 걸렸다는 사실에 논란을 얻고 있다(사진=ⓒ123RF)

유사한 사례

물론 인대애나 팀만 해커들에게 당한 것은 아니다. 애틀랜타 호크스 역시 올해 초 사이버 범죄의 피해를 입었다.

바스타블은 특히 애틀랜타 호크스 웹사이트의 해킹은 '편의성'의 위험을 보여준 사례라고 설명했다.

AG 엔터프라이즈의 데이터 보호 책임자인 조나단 드보는 "PSE의 경우 애틀랜타 호크스와의 대조적으로 외부인이 웹사이트 취약성을 이용해 내부로 무단 접근했다"며 "이들의 공통점으로는 모두 데이터 보안 체인의 약점과 격차에 위험한 상태를 보이고 있다"고 말했다.

[라이헨바흐=김지연 기자]