소셜번호 등 개인정보 27억건 유출
이름·주소·출생일·전화 포함
다크 웹에 유출돼 피해 커질 듯
크레딧 동결해 신분 도용 방지
CBS는 19일 데이터 판매 회사 내셔널 퍼블릭 데이터(NPD)에서 개인정보 유출 사고가 있었다고 보도했다. 유출 과정, 정보, 대응 방법 등을 알아봤다.
▶ 어떻게 유출됐나
매체에 따르면 가주에 사는 크리스토퍼 호프만이 정보유출에 대한 피해보상 소송을 제기하면서 이 같은 사실이 널리 알려졌다. NPD는 플로리다에 기반을 둔 회사로 개인정보를 수집해서 판매한다.
업체 측은 2022년 말부터 해킹 시도가 있었고 2023년 4월과 2024년 여름에 두 차례에 걸쳐 광범위한 데이터의 유출이 있었다고 인정했다. NPD는 정보 유출에 대한 정확한 사실이 밝혀지는 대로 피해자들에게 연락할 것이라고 밝혔다.
▶ 소셜번호부터 주소까지
유출된 개인정보는 이름, 집 주소, 사회보장번호(SSN), 생년월일, 전화번호 등이 포함돼 있다. 호프만의 소장에 따르면 USDoD으로 불리는 해커들이 NPD의 데이터베이스 정보를 다크 웹에 올린 것은 올해 4월 8일. 해커들은 유출된 데이터를 350만 달러를 받고 다크 웹에서 판매하려다 실패했다. 유출된 정보는 다크 웹에 퍼져 있는 상태다.
본인 개인정보 유출 여부는 사이버보안 업체를 통해 확인 가능하다. 다만 전문가들은 확인 서비스를 이용하기 전 업체가 신뢰할 수 있는 곳인가를 반드시 체크해야 한다고 입을 모았다.
▶ 피해 규모는
사이버보안과 관련한 비영리 단체인 전국사이버보안연합(NCA)의 클리프 슈텐하우어 디렉터는 SSN을 가진 모든 소비자의 데이터가 유출됐을 가능성이 매우 크다고 밝혔다. 다만 현재 미국 인구가 3억3000만 명임에도 불구하고 유출된 데이터가 27억 건이 넘어가는 이유는 데이터들이 주소에 따라서 다르게 분류돼 한 사람의 정보가 여러 건으로 등록됐을 가능성이 있기 때문이다. 이에 더해 지난 30년간 수집된 데이터라서 이미 사망한 사람의 정보도 포함됐을 수도 있다.
슈텐하우어 디렉터는 “현재 미국에는 연방 차원에서 개인정보 보호법이 없기 때문에 NPD 같은 업체들이 정보를 모아서 판다 해도 이를 처벌할 수 없다”며 정부 대신 개개인이 스스로 자신의 정보를 지키기 위해 최선을 다해야 한다고 말했다.
▶ 크레딧 동결이 최선
NCA 측은 유출된 정보로 인한 피해를 최소화할 방법으로 가장 먼저 ‘크레딧 동결’을 꼽았다. SSN과 이름 등을 통해 크레딧카드나 은행 계좌를 새로 개설하는 것을 가장 먼저 막아야 한다는 것이다. 엑스페리안, 에퀴펙스, 트랜스유니언과 같은 대형 신용정보 업체에 연락하면 무료로 크레딧을 동결할 수 있다.
전문가들은 이 밖에도 비밀번호는 16글자 이상의 복잡한 것으로 바꾸기, 브라우저에서 제공하는 비밀번호 매니저 기능 사용하기, 컴퓨터와 스마트폰 등의 보안 프로그램을 최신 버전으로 업데이트하기 등을 통해 신분도용을 방지하는 게 좋다고 조언했다. 유출된 정보가 피싱 등의 사기에 이용될 가능성이 높다며 이에 대한 주의도 당부했다.
조원희 기자
with the Korea JoongAng Daily
To write comments, please log in to one of the accounts.
Standards Board Policy (0/250자)