Optus: 대규모 데이터 유출로 호주가 노출된 방법

Optus는 미국에서 두 번째로 큰 통신 회사입니다.

지난주 호주 통신 대기업 Optus는 인구의 약 40%인 약 1천만 명의 고객이 이른바 사이버 공격으로 개인 데이터를 도난당했다고 밝혔습니다.

일부 전문가들은 이번 사건이 호주 역사상 최악의 데이터 유출이 될 수 있다고 말합니다.

그러나 이번 주에는 몸값 위협, 긴장된 공개 교환 및 이것이 "해킹"인지 여부에 대한 조사를 포함하여 더 극적이고 지저분한 상황이 발생했습니다.

또한 호주가 데이터 및 개인 정보를 처리하는 방법에 대한 중요한 질문을 촉발했습니다.

알람은 지난 목요일에 울렸다

Singapore Telecommunications Ltd의 자회사인 Optus는 네트워크에서 의심스러운 활동을 발견한 지 약 24시간 만에 보안 침해 사실을 공개했습니다.

호주에서 두 번째로 큰 통신 제공업체는 이름, 생년월일, 전화번호, 이메일 주소, 여권 번호 및 운전 면허증 번호를 포함한 현재 및 이전 고객의 데이터가 도난당했다고 말했습니다. 결제 내역과 계정 비밀번호는 훼손되지 않았다고 강조했다.

여권이나 면허증 번호가 도용된 사람들(약 280만 명)은 신분 도용과 사기의 "상당한" 위험에 처해 있다고 정부가 밝혔습니다.

Optus는 위반 사항을 조사 중이며 경찰, 금융 기관 및 정부 규제 기관에 통보했다고 밝혔습니다. 유출은 해외에서 발생한 것으로 보인다고 현지 언론이 보도했다.

옵터스의 켈리 바이엘 로스마린(Kelly Bayer Rosmarin) 최고경영자(CEO)는 옵터스가 매우 강력한 사이버 보안을 갖고 있다고 말했다.

Optus의 CEO인 Kelly Bayer Rosmarin은 유출로 인해 "황폐해졌다"고 말했습니다.

그녀는 금요일에 "분명히 우리 고객들에게 이런 일을 하려는 사람들이 있다는 사실에 화가 나고, 막을 수 없었다는 점에 실망한다"고 말했다.

그런 다음 몸값 위협이 이루어졌습니다.

토요일 초 한 인터넷 사용자가 온라인 포럼에 데이터 샘플을 게시하고 Optus에 암호화폐로 몸값 100만 달러(A$150만 달러, £938,000)를 요구했습니다.

회사는 1주일의 비용을 지불해야 하며 그렇지 않으면 도난당한 다른 데이터가 일괄 판매될 것이라고 관계자는 말했습니다.

수사관들은 아직 사용자의 주장을 확인하지 않았지만 일부 전문가들은 약 100개의 기록이 포함된 샘플 데이터가 합법적인 것으로 보인다고 신속하게 말했습니다.

시드니에 기반을 둔 기술 기자인 제레미 커크(Jeremy Kirk)는 해커로 알려진 사람에게 연락하여 그들이 데이터를 훔친 방법에 대해 자세히 설명했다고 말했습니다.

사용자는 자유롭게 액세스할 수 있는 소프트웨어 인터페이스에서 데이터를 가져왔다고 말하면서 침해가 "정교했다"는 Optus의 주장에 반박했습니다.

Kirk에 따르면 "인증이 필요하지 않습니다... 누구나 사용할 수 있도록 모두 인터넷에 공개되어 있습니다."라고 메시지에서 말했습니다.

데이터가 순환함에 따라 도난당한 세부 정보가 더 많이 드러납니다.

화요일에 발생한 또 다른 에스컬레이션에서 해커라고 주장하는 사람은 10,000개의 고객 기록을 공개하고 몸값 마감 시한을 되풀이했습니다.

그러나 불과 몇 시간 후 사용자는 "실수"라고 사과하고 이전에 게시된 데이터 세트를 삭제했습니다.

"너무 많은 눈. 우리는 [원문 그대로] 데이터를 누구에게도 판매하지 않을 것입니다."라고 게시했습니다. "이 점에 대해 Optus에 깊은 사과를 드립니다. 모든 일이 잘 되기를 바랍니다."

이는 Optus가 몸값을 지불했는지 여부에 대한 추측을 촉발시켰지만 회사는 이를 부인하고 있습니다.

문제에 더하여 포럼의 다른 사람들은 지금 삭제된 데이터 세트를 복사하고 계속 배포했습니다.

또한 일부 고객의 Medicare 세부 정보(의료 기록에 대한 액세스를 제공할 수 있는 정부 식별 번호)도 도난당했으며 Optus는 이전에 공개하지 않은 것으로 나타났습니다.

수요일 늦게 회사는 이것이 거의 37,000개의 Medicare 카드에 영향을 미쳤다고 말했습니다.

'호주에서 가장 심각한 위반'

Optus는 지난주부터 화난 고객들의 메시지로 넘쳐났습니다.

사람들은 신분 도용의 징후와 이미 혼란에 돈을 벌고 있는 기회주의적 사기꾼을 조심하라는 경고를 받았습니다.

곧 회사를 상대로 집단 소송을 제기할 수 있습니다. Slater and Gordon Lawyers의 Ben Zocco는 "이것은 피해를 입은 사람들의 수와 공개된 정보의 성격 모두에서 호주 역사상 가장 심각한 개인정보 침해일 가능성이 있습니다."라고 말했습니다.

정부는 유출이 "전례가 없다"고 옵터스를 비난하며 민감한 데이터가 도난당하는 데 "효과적으로 창을 열어두었습니다"라고 말했습니다.

월요일 ABC TV 인터뷰에서 사이버 보안 장관인 Clare O'Neil은 "당신은 이것이 정교한 공격이라는 Optus의 라인을 구매한 것 같지 않습니까?"

O'Neil은 "글쎄, 그렇지 않았습니다. 그래서 아닙니다."라고 대답했습니다. 이 순간은 온라인에서 많은 주목을 받았습니다.

Twitter에서 원본 트윗 보기

트위터에서 즐기는 Clare O'Neil MP

 

Bayer Rosmarin은 화요일 News Corp Australia에 다음과 같이 말했습니다.

그녀는 "대부분의 고객들은 우리가 악당이 아니라는 것을 이해하고 있다고 생각한다"고 덧붙였다. 조사가 진행되는 동안 Optus는 더 이상 말할 수 없다고 덧붙였다.

회사는 사람들이 자신을 보호하기 위해 분주하게 움직이면서 여권과 운전 면허증 교체 비용을 충당해야 한다는 요청에 직면했습니다.

'사이버 보안에 10년 뒤쳐져'

오닐은 이번 위반으로 호주가 개인정보 보호 및 사이버 문제에서 세계 다른 지역보다 얼마나 뒤처졌는지를 보여줍니다.

그녀는 ABC에 "우리는 아마 10년 뒤쳐져 있을 것"이라고 말했다.

양측 정치권은 이 문제에 대해 비난을 주고받았다. 야당 의원들은 노동당 정부가 "운전석에서 잠자코 있다"고 말했지만 정부는 10년 동안의 보수 집권 후 5월에야 노동당 정부가 선출되었다고 지적합니다.

O'Neil은 긴급한 개혁이 필요한 두 가지 영역을 지적했습니다.

그녀는 정부가 Optus와 같은 회사를 더 잘 처벌할 수 있어야 한다고 주장합니다. 일부 국가에서는 회사가 수억 달러의 벌금에 처할 수도 있지만 호주의 벌금은 약 2백만 달러로 제한되어 있다고 그녀는 말했습니다.

그녀는 또한 작년에 도입된 사이버 보안 법률을 통신 회사까지 확대하기를 원합니다.

"당시 통신 부문에서는 "우리는 걱정하지 마십시오. 우리는 사이버 보안을 정말 잘합니다. 우리는 규제되지 않고 그것을 할 것입니다. 나는 이 사건이 그 주장에 의문을 제기한다고 말하고 싶다."

보안 전문가들은 또한 통신 회사가 민감한 정보를 너무 오랫동안 보관할 필요가 없도록 데이터 보존법을 개혁할 것을 제안했습니다. 전문가들은 전 고객이 회사에 데이터 삭제를 요청할 권리도 있어야 한다고 말합니다.

Optus는 현행 규정에 따라 6년 동안 신원 데이터를 보관해야 한다고 말합니다.

다른 업계 인사들은 소비자가 정보에 대한 통제력을 상실한 회사를 업계 규제 기관이 아닌 법원에 제출할 수 있어야 한다고 주장했습니다.