하트랜드 페이먼트 시스템즈의 침해 사건으로 인해 현재 미국 내 수많은 신용 조합과 은행이 고객들에게 이를 공지하고 새 신용 카드를 발급하고 있는 것으로 알려졌다.

지난 20일(현지 시간) 자사 시스템이 지난 해 침해되었으며 침입자들이 맬웨어를 설치해 기업 네트워크의 데이터를 탈취했다고 공식 발표했던 지불결제 처리업체 하트랜드 페이먼트 시스템즈(Heartland Payment Systems Inc.)의 보안 침해 사건의 피해가 일파만파 번지고 있다. 이와 관련해 미국 내 상당수의 은행 및 금융협회들은 해당 사건으로 영향 받은 지불카드를 고객들에게 사건을 공지하는 한편, 기존 카드를 차단하고 새 카드를 발급해주는 등 북새통을 이루고 있다.

하트랜드는 여전히 이 사건으로 피해를 입게 될 신용 카드의 수를 발표하지 않고 있지만 미국 전역의 수많은 금융 협회들이 배포하고 있는 공지들로 미루어 볼 때 이 사건이 막대한 피해가 이어지는 대규모의 침해 사건이 될 것은 분명해 보인다.

업계 관계자들은 하트랜드 침해 사건이 4천 5백 7십만 건의 신용 카드 정보가 탈취됐던 TJX 데이터 보안 침해 사건보다 더 규모가 클 것으로 평가하고 있다. 정확한 숫자가 알려지지 않았지만 최소 수백만에 이를 것이라는 전망이다. 하트랜드는 25개 이상의 사업체와 거래하고 있으며 연간 40억 건의 트랜잭션을 처리하고 있기 때문이다.

일례로 노스캐롤라이나 SECU(State Employees’ Credit Union)은 6만 명 이상의 협회 회원들이 이번 하트랜드 침해 사건에 영향을 받았다고 밝혔다. 이와 관련해 이 신용 조합은 피해 가능성이 있는 회원들을 위해 새 신용카드 번호와 개인 인식 번호(PIN)를 재발급했다. 

SECU는 지난 일요일(현지 시간) 성명을 통해 “HPS의 침해 사건은 미국 내 모든 금융 협회들에 영향을 끼칠 것이다. 모든 협회들이 카드나 PIN을 재발급하는 것은 아닐 수도 있으나 SECU는 이것이 회원들을 보호하기 위한 최선을 방법이라고 생각한다”고 밝혔다.

또한 WSECU(Washington State Employees Credit Union)도 회원 4천여 명이 이번 하트랜드 침해 사건으로 영향을 받았다며 신용 카드를 재발급하고 있다. WSECU의 대변인은 “이것은 비용과 시간이 소모되는 작업이지만 우리 회원들을 보호하기 위한 올바른 일이라고 생각하며 이 점이 다른 협회와 WSECU의 차이라고 생각한다”고 밝혔다. 또한 “무슨 일이 벌어질지 기다리며 지켜본다는 것은 우리에게는 통하지 않는다. 우리는 미연에 방지한다”고 덧붙였다.

또 다른 피해업체인 노트르담 연방 신용조합(Notre Dame Federal Credit Union)은 홈페이지 공지를 통해 하트랜드 침해 사건으로 손상된 것으로 보고 된 2천개 이상의 신용 카드를 이용자의 보호를 위해 차단했다고 밝혔다. 또한 “회원 계좌에 대한 어떠한 사건도 발생하지 않았다”면서도 “이와 관련한 위협은 매우 실제적인 것이기 때문에 모든 노출된 카드는 차단되었으며 해당 회원들에게 새 카드가 발급되었다”고 덧붙였다.

이외에도 TD Bank와 TD Banknorth, 메인 주의 PeoplesChoice Credit Union, 오하이오 주의 Wright-Patt Credit Union, Association of Vermont Credit Unions 등이 대표적인 피해 단체들로 알려졌다.

한편 펜실베니아 주재 한 법률 회사가 하트랜드사의 시스템 해킹 관련 발표 성명이 부정확하고 부적절했다고 주장하며 집단 소송을 제출했다. 하트랜드는 소매업체 정보나 카드 사용자의 사회보장 번호, 주소 또는 전화번호 등은 침해 사건에 영향을 받지 않았다고 밝힌 바 있다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>