• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

美 역대 개인정보 유출 사고 순위 Top 10 2011.10.17

금전적인 이유 혹은 정치적인 이유...해킹 피해로 회사가 파산하기도


[보안뉴스 호애진] 미국 온라인 매체인 데일리 비스트(THE DAILY BEAST)는 최근 발생하는 사이버 공격의 심각성을 파악하고 개인정보보호의 중요성을 알리기 위한 일환으로 개인정보보호단체인 PRC(the Privacy Rights Clearinghouse)와 DataLossDB가 집계한 방대한 통계를 이용해 역대 개인정보 유출 사고 순위 Top 10을 선정했다.


10위

고커(Gawker)

인터넷 매체인 고커(gawker)는 2010년 12월 12일 해킹을 당해 130만여명의 개인정보가 유출됐다. 폭로 전문 웹사이트 위키리스크 설립자 줄리언 어산지가 체포된 이후 그의 지지자인 핵티비스트들은 여러 기업 사이트에 대해 사이버 공격을 감행했고 어산지를 비난하는 글을 올린 고커에 해킹 공격을 감행했다.


9위

RBS 월드플레이(RBS WorldPay)

RBS WorldPay는 인터넷 상의 물건을 사고 팔때 사용하는 신용카드, 현금 입출금 등을 이용해 하루에 수백만 건의 금융 거래를 지원하는 사이트다. 이 사이트는 2008년 12월 29일 해킹 공격을 받아 110만여건의 사회보장번호와 ATM 카드번호가 유출됐다. 공격자들은 아틀란타, 시카고, 뉴욕, 몬트리올, 모스크바, 홍콩을 포함한 전 세계 49개 도시에서 130개 이상의 ATM 기기를 통해 9백만 달러 상당을 탈취했다.


8위

버지니아주 보건국(Virginia Department of Health Professions)

버지니아주 보건국은 2009년 6월 2일 830만여건의 개인정보가 유출됐다. 공격자는 2009년 6월 2일 버지니아주의 처방 모니터링 프로그램(Prescription Monitoring Program : PMP) 사이트에 침입해 830만여명의 환자 기록을 삭제하는 한편 천만 달러의 금품을 요구하는 내용이 담긴 사이트의 홈페이지로 대체했다. PMP 사이트는 제약사들이 처방 약물 남용을 추적하기 위해 이용하는 사이트로 의료 기록과 처방 기록들 등의 민감한 정보를 포함하고 있다.


7위

TD 에머리트레이드(TD Ameritrade)

온라인 증권사인 TD 에머리트레이드는 2007년 9월 14일 630만명의 개인정보가 유출됐다. 이번 사고로 인해 유출된 정보는 이름, 사회보장번호(Social Security numbers), 이메일과 계좌 정보다.


6위

카드시스템즈(CardSystems)

신용카드 결제 업무를 대행하던 카드시스템즈(CardSystems)는 2005년 6월 19일 해킹 공격을 받아 4천만여명의 이름과 신용카드 번호가 유출됐다. 이 사고는 해킹 공격으로 회사가 파산하게 된 사례로 많이 회자되고 있다. 카드시스템즈는 이 사고로 주요 고객인 비자와 마스터카드를 잃은 후 매각됐다가 2008년 최종적으로 퇴출됐다.


5위

락유(RockYou Inc.)

SNG(소셜네트워크게임)인 락유는 2009년 12월 14일 3천200만명의 개인정보가 유출됐다. 이번 사고로 인해 유출된 정보는 이름, 이메일 주소와 패스워드다. 공격 기법은 SQL 인젝션이었으며, 이는 웹페이지의 로그인 창 등에 SQL 구문을 넣어 데이터베이스의 정보를 빼내거나 홈페이지를 변조해 악성코드를 유포하는 해킹 수법이다.


4위

TJX컴퍼니(TJX Companies)

의류 전문 업체인 ‘TJX컴퍼니’는 2007년 1월 17일 약 9400만건의 정보가 유출됐다. 이번 사고로 인해 유출된 정보는 이름과 신용카드 번호다. USB를 통해 단말기에 악성프로그램을 침투시켰고 무선랜의 취약점(WPA암호 Crack)을 통해 관리자 권한(ID/PW)을 획득한 후 고객정보를 해킹했다.


3위

하트랜드 페이먼트 시스템즈(Heartland Payment Systems)

미국 뉴저지 프린스턴에 본사를 두고 있는 ‘하트랜드(Heartland Payment Systems)’는 2009년 1월 20일 발생한 해킹 공격으로 1억3천여건의 신용카드 번호가 유출됐다. 공격 기법은 SQL 인젝션으로 이는 가장 많이 시도되는 공격일 뿐만 아니라 가장 성공률이 높은 공격이다.


2위

TRW, 시어스 로벅(Sears Roebuck)

TRW, 시어스 로벅은 1984년 6월 1일 9천여건의 개인정보가 유출됐다. 유출된 개인 정보에는 신용카드 거래 내역과 사회보장번호(Social Security Numbers)가 포함돼 있었다. 공격자가 TRW 시스템에 불법으로 접근 시 이용한 비밀번호는 사건이 발생하기 이미 1년 전에 유출된 것으로 파악됐다. 하지만 관계자들은 1년이 넘도록 이 사실을 알지 못했다고 한다.


1위

소니 플레이스테이션 네트워크/ 소니 온라인 엔터테인먼트

소니 그룹의 계열사인 플레이스테이션 네트워크와 온라인 엔터테인먼트는 2011년 4월 26일과 5월 5일 해킹 공격을 받아 총 1억여명의 개인정보가 유출됐다. 이는 전례없는 규모로 유출된 정보는 이름, 주소, 이메일, 생년월일, ID와 패스워드, 구매 내역과 신용카드 번호다. 이 사고는 소니의 늑장 대응 때문에 더욱 비난을 받기도 했으며 대규모 집단 소송으로까지 이어졌다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>