이석원 기자
휴대전화와 인터넷 회선 등을 제공하는 미국 대형 통신기업 AT&T가 현지 시간 7월 12일 사이버 공격으로 인해 1억 1,000만 명 고객 데이터가 거의 모두 도난당했다고 발표했다.
AT&T는 지난 3월 30일에도 대규모 사이버 공격으로 7,300만 명 개인정보가 유출된 걸 인정했다. 유출 데이터에는 AT&T 고객 계정 패스코드가 암호화된 형태로 포함되어 있었지만 암호화 무작위성이 불충분해 유출된 데이터세트 주변 정보를 이용해 4자리 암호를 추측할 수 있는 상태였다. 따라서 AT&T는 유출을 인정하는 동시에 고객이 설정한 패스코드를 일괄적으로 리셋하는 방식으로 대응하고 있다.
7월 12일에 발표된 AT&T 성명에 따르면 새로 도난당한 데이터에는 고객 휴대전화와 유선전화 번호 외에도 2022년 5월 1일부터 2022년 10월 31일까지의 통화와 문자 메시지 기록이 포함되어 있다고 한다. 또 AT&T 고객 뿐 아니라 AT&T 네트워크를 사용하는 다른 이동통신사 전화 서비스를 이용하는 고객 통화 기록도 포함되어 있다고 한다. 통화나 메시지 내용은 도난당한 데이터에 포함되어 있지 않지만 통화 길이나 텍스트의 총 수, 통화를 한 장소나 메시지를 보낸 장소에 대한 대략적인 위치 정보 등 메타데이터는 포함되어 있다.
AT&T 측은 데이터 유출에 대해 AT&T 고객 1억 1,000만 명에게 통지할 예정이라고 말했다. 또 고객에게 자신의 계정이 유출됐는지 확인할 수 있는 방법을 제시하고 있다.
AT&T에 따르면 이번 데이터 침해는 클라우드 데이터 대기업 스노플레이크(Snowflake) 고객을 노린 공격이 6월 초부터 계속되고 있으며 그 일환으로 스노플레이크 데이터에서 도난당한 것으로 3월 말 발생한 사이버 공격과는 무관하다고 한다. AT&T 고객 데이터가 왜 스노플레이크에 저장되어 있었는지에 대해서는 밝히지 않았다.
보도에 따르면 미국 출신으로 과거 튀르키예에서 체포된 존 빈즈 용의자가 AT&T를 포함한 대규모 데이터 침해에 관여했을 가능성이 있다고 한다. 스노플레이크에서 데이터 도난을 당한 다른 기업은 도난 데이터가 다크웹에 공개되어 있지만 AT&T 데이터는 아직 공개되지 않은 것으로 보인다.
해외 커뮤니티에선 이 건에 대해 침해가 실질적인 영향을 미치지 않는 한 기업은 최소한의 대책만 할 것이므로 데이터 침해에 관한 법률을 더 엄격하게 해야 한다는 의견이나 애초에 전화번호 등을 넘어선 통화 기록이나 메시지 메타데이터 등을 통신회사가 보관하고 있는 것 자체가 이상하다는 지적 등 다양한 논의가 오가고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
