해킹 그룹 ‘샤이니헌터스’, 1.67GB 분량의 고객 데이터 및 주문 이력 다크웹 게재
카드 번호 뒷자리 및 은행 식별 번호(BIN) 포함... 협력사 관리 소홀에 따른 공급망 보안 사고

[보안뉴스 김형근 기자] 캐나다의 의류 브랜드 캐나다구스(Canada Goose)가 해킹 그룹의 공격을 받아 고객 60만 명의 개인정보가 유출되는 사고가 발생했다. 이번 사고는 기업 본사가 아닌 협력사를 공략한 공급망 공격의 사례로 파악됐다.


지난 15일 샤이니헌터스(ShinyHunters)는 데이터 유출 사이트를 통해 캐나다구스에서 탈취한 1.67GB 분량의 데이터베이스(DB)를 공개했다. 유출된 정보는 고객의 성명, 전화번호, 이메일 주소 등 기본 인적 사항과 함께 IP 주소와 브라우저 정보, 주문 이력이 포함됐다. 또, 카드 번호 뒷자리 4개와 은행 식별 번호(BIN) 등 일부 결제 데이터도 유출돼 2차 피해 우려가 커지고 있다.

캐나다구스 측은 “유출된 자료는 과거 거래 기록이며, 자사의 내부 IT 인프라는 직접 침해당하지 않았다”고 발표했다. 회사 측은 현재 공개된 데이터의 진위 여부와 규모를 확인 중이며, 피해 고객 보호를 위한 절차를 진행하고 있다고 밝혔다.

그러나 이번 유출이 제3자 결제 서비스 업체(Vendor)를 통해 발생했다는 주장이 제기되면서, 공급망 보안의 취약성이 지적되고 있다. 보안 업계에서는 고객이 브랜드를 믿고 정보를 제공했기에 제3자 협력사의 과실이더라도 최종적인 관리 책임은 원청 기업인 캐나다구스에 있다고 강조했다. 기업 내부가 아닌 협력사 취약점이 어떻게 사고로 이어지는지 확인할 수 있었던 공급망 보안 위협의 전형적인 사례라는 설명이다.

한편, 이번 공격을 주도한 샤이니헌터스는 최근 옥타(Okta), 사운드클라우드 등 글로벌 플랫폼을 겨냥한 피싱 공격 및 사회공학적 기법을 동원해 서비스형 소프트웨어(SaaS) 제품을 해킹하고 대량의 개인정보를 유출해 왔다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>