경제브리핑: Latitude Finance 해킹 공격… 1,400만 명 고객 정보 도난
호주의 대출 전문 회사 라티튜드(Latitude)가 밝힌 사이버 공격 피해는 하비 노만(Harvey Norman), JB Hi-Fi, 굿 가이즈(The Good Guys)의 일부 고객만 피해를 입었다고 발표했던 당초 피해 예상 규모보다 훨씬 더 심각한 것으로 알려졌다.
박성일 PD (이하 진행자): 호주의 대출 전문회사 Latitude가 사이버 공격으로 인해 1,400만 명에 달하는 고객의 정보를 도난당했다고 밝혔는데요, 그 피해 규모는 당초 회사가 발표한 것보다 훨씬 더 심각한 것으로 드러났습니다. 오늘 경제브리핑에서는 이 소식 알아봅니다. 홍태경 프로듀서 연결돼 있습니다. Latitude의 이번 해킹 피해 규모가 처음 알려진 규모보다 훨씬 크다고요?
홍태경 PD: 그렇습니다. Latitude Financial의 사이버 해킹은 호주와 뉴질랜드의 고객 약 1,400만 명의 고객 데이터를 도난당한 것으로 파악되면서 원래 생각했던 것보다 훨씬 더 심각한 것으로 확인됐습니다. 이 회사는 지난 3월 16일에 해킹 사실을 처음 발표했을 때만해도 약 33만 명의 고객 데이터가 해킹됐다고 보고했는데요 현재 790만 개의 운전면허 번호가 도난당한 것으로 파악되며, 적어도 2005년까지 거슬러 올라가는 610만 개의 추가 운전면허 기록도 해킹된 것으로 알려졌습니다.
해당 회사는 호주증권거래소(ASX) 발표에서 도난당한 약 790만 개의 호주 및 뉴질랜드 운전면허 번호를 확인했으며, 적어도 2005년으로 거슬러 올라가는 추가 610만 개의 기록도 해커들에 의해 추가 도난당했다고 전했습니다. 노출된 790만 건의 운전면허증 중 약 320만 건 또는 40%가 지난 10년 동안 제공된 자료들입니다. Latitude는 또 약 5만3,000개의 여권 번호도 해킹당했다고 밝혔는데요 매월 재무제표를 도난당한 고객도 100명 가까이에 이르는 것으로 파악됐습니다.
또한 2005년까지의 자료 중 610만 개의 운전면허 기록이 도난당했는데 이 중 약 570만 개(94%)는 2013년 이전에 제공된 기록들인 것으로 나타났습니다. 이 기록에는 이름, 주소, 전화, 생년월일 등의 개인 정보가 일부 포함되어 있다고 회사는 덧붙였습니다. 즉 현재는 Latitude를 이용하지 않고 있는 수많은 예전 고객들까지도 해킹의 영향을 받게 될 것으로 보입니다.
진행자: Latitude Finance은 어떤 회사인가요?
홍 PD: 라티튜드 파이낸스(Latitude Finance)는 호주와 뉴질랜드, 캐나다, 싱가포르를 기반으로 하는 디지털 대출 전문 회사입니다. 고객이 온라인으로 물건을 구매할 때 다양한 형태의 지불 방식을 통해 일종의 신용 대출을 해주는 금용 서비스 업체인데요, 작게는 5천불 규모의 대출부터 크게는 자동차 구매 대출까지, 또 보험 서비스까지 제공하는 통합 파이낸스 서비스를 제공하는 대출 전문 회사입니다.
호주에서는 하비노만(Harvey Norman), JB Hi-Fi, 데이빗 존스(David Jones) 굿가이즈(The Good Guys) 등의 고객을 위한 신용 카드, 개인 대출, 기타 형태의 대출 서비스를 제공합니다.
이들 소매 기업들 중 데이빗 존스는 2024년까지 Latitude 카드 프로그램으로 전환 예정에 있지 않기 때문에 David Jones 고객 데이터는 이번 해킹의 피해를 입지 않은 것으로 확인됐습니다.
진행자: 라티튜드는 당초 33만 명의 운전면허 번호만 해킹됐다고 발표했다가 시간이 지날수록 피해 규모가 커진 사실을 인정했는데요, 피해 고객들은 주로 어떤 사람들이 포함되는 건가요?
홍 PD: 소비자 행동 법률 센터의 스테파니 톤킨 대표는 Latitude Finance의 고객들은 대개 무보증금과 무이자 기간 혜택을 받으며 주요 소매점에서 (대출을 통해) 물건을 구입한 사람들이라고 설명했습니다. 톤킨 대표의 얘기 들어보시죠.
“신분증을 도난당하는 사기 행위에 취약하게 노출된 사람들이 존재합니다. 그들은 금전 사기에 쉽게 노출될 것이고 동시에 금전 사기를 감당하기 더욱 어려운 사람들입니다.”
또 뉴사우스웨일스 대학 사이버 보안 연구소의 산제이 자 교수는 더 강력한 법이 필요하다고 말합니다.
“불행히도 2005년 이후로 많은 데이터가 보관되고 있다는 사실을 알게 된 것이 우려되는 부분입니다. 어떤 이유로든 데이터가 필요 이상으로 오랫동안 보관되지 않도록 하기 위한 법률이 마련돼야 합니다.”
진행자: 전적으로 동감합니다. 사실 이 부분이 많은 소비자들을 불안하게 만드는 한 가지 원인이기도 한데요, 과거에 라티듀드를 이용했지만 현재는 이용하고 있지 않은 고객의 경우에도 자신의 개인 정보가 보관돼 있었다는 이유로 이번 해킹에 피해자가 되는 것이니까요.
홍 PD: 그렇습니다. 아직까지는 일반적으로 사이버 보안(cyber security), 특히 신원 도용에 관한 법률이 충분하지 않은 것이 사실이라고 전문가들은 말합니다. 그렇기 때문에 법률 제정에 대한 목소리가 높아지고 있는데요, 실제로 우리가 생활하고 있는 일거수 일투족에 대한 정보가 사실 노출 위험에 놓여있는 셈입니다. 휴대폰을 켜거나 아이패드를 열면 사용하는 데이터가 그대로 세상에 노출된다고 봐도 과언이 아니기 때문이죠.
진행자: 그런데 회사 측은 왜 초기 해킹 피해 파악이 늦어진 건가요? 수백만 명의 고객들이 영향을 받았는지에 대해 알지 못하고 있다가 화가 난 고객들의 불만이 커지면서 해킹 규모가 드러난 거죠?
홍 PD: 그렇습니다. 해킹에 노출된 사람들이 자신의 계정에 접근할 수 없다는 불만이 커지면서 라티듀드 측은 해킹 사태를 파악하기 시작했는데요 지난 며칠 동안 시스템 상에서 “비정상적인 활동”을 감지했다는 보고를 받은 후에 해킹 공격을 받았다고 처음 밝혔습니다. 이 회사는 사이버 보안 침해라는 사실을 알게 된 순간 피해를 최소화하기 위해 “즉각적인 조치”를 취했지만 안타깝게도, 그때는 이미 늦은 상태였죠. 이미 1400만 명의 고객 정보가 빠져나간 뒤였습니다.
지난 해 옵터스(Optus)와 메디뱅크(Medibank)가 대규모 해킹 사태로 이미 수백만 명의 고객의 세부 정보를 도난당한 것이 불과 몇 달 전의 일인데요 라티튜드(Latitude) 해킹 사태는 옵터스에 영향을 미쳤던 공격보다 더 큰 규모로 집계되고 있습니다. 옵터스의 피해 고객 규모는 980만 명이었습니다.
진행자: 그렇다면 라티듀드 측은 현재 고객들에 대해 이번 해킹 피해 처리를 어떻게 진행하고 있나요?
홍 PD: 라티듀드는 노출된 ID를 교체하기로 결정한 고객에게는 보상을 진행할 것이며 사이버 보안 사고를 포함한 위험을 보상하기 위한 보험에 들어 있기 때문에 보험사에 이 사실을 보고한 상태라고 전했습니다.
라티듀드 파이낸스(Latitude Finance)의 CEO인 아메드 파우어 대표는 이번 사건으로 인해 수많은 고객과 대출 신청자들이 영향을 받은 것에 대해 매우 안타깝게 생각한다고 사과를 전했습니다. 그러면서 “당사는 영향을 받은 고객 및 신청자들과 긴밀하게 협력해 신분증을 교체하기로 선택하는 경우 비용을 변제하는 등 고객의 피해를 최소화하기 위해 노력하고 있다. 또한 이번 해킹 사건에 대한 전면적인 검토에 전념하고 있다”고 전했습니다.
파우어 대표는 또 고객들에게 사기 행위에 대한 경계를 늦추지 말 것을 당부했는데요, “모든 고객들이 본인의 계정과 관련된 의심스러운 접근이 있는지 경계할 것을 당부한다”면서 당사는 고객들에게 절대 비밀번호를 요청하는 연락을 하지 않는다고 강조했습니다.
진행자: 당국은 이번 사태를 어떻게 대응하고 있나요?
홍 PD: 클레어 오닐 사이버 보안부 장관은 이번 해킹 사태가 “매우 우려스럽다”는 입장입니다. 그리고 외교통상부는 해킹에 영향을 받은 여권도 여전히 사용할 수 있다고 확인했습니다.
소비자 행동 법률 센터의 스테파니 톤킨 대표는 작년 옵터스와 메디뱅크 해킹 사태 이후 사이버 공격은 이미 우려스러운 결과를 낳고 있다고 말합니다. 업계 차원에서 스캠을 예방하고 탐지하기 위한 잘 갖춰진 대응 방식이 없기 때문에 전화를 걸거나 이메일을 보내는 사람들을 더 이상 신뢰할 수 없는 사회적 분위기가 형성되는 것이 우려된다고 덧붙였습니다.
진행자: 오늘 경제브리핑은 최근 대규모 해킹 사태로 확대된 대출 전문 업체 라티듀드 파이낸스의 해킹 소식에 대해 알아봤습니다.