수백만 건의 개인정보가 정부기관과 기업에서 유출...파일전송 서비스의 취약점이 원인

2021년 2월 19일 Accellion가 제공하는 파일전송 서비스의 취약점을 이용한 해킹이 이루어져 미국의 대형슈퍼마켓 Kroger의 고객정보가 유출되었다고 보도되고 있습니다. Accellion의 서비스는 Kroger 외에도 많은 기업과 정부기관이 사용하고 있어서, 데이터 유출 피해는 최소 수백만 건에 이를 것으로 보여지고 있습니다.

Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers
https://www.prnewswire.com/news-releases/accellion-security-incident-impacts-kroger-family-of-companies-associates-and-limited-number-of-customers-301231891.html

Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers

Kroger data breach exposes pharmacy and employee data
https://www.bleepingcomputer.com/news/security/kroger-data-breach-exposes-pharmacy-and-employee-data/

Kroger data breach exposes pharmacy and employee data

Kroger is latest victim of third-party software data breach
https://apnews.com/article/software-c4815b9f0c0092071bad97d9f6842fe6

Kroger is latest victim of third-party software data breach

Kroger가 발표한 성명에 따르면 2021년 1월 23일에 Accellion로부터 정보유출 통지를 받자마자 즉시 Accellion의 사용을 중단했다고 합니다. 이 해킹에 의해 영향을 받은 고객은 전체의 1% 미만이며, 신용카드 정보와 온라인쇼핑의 계정정보에 미친 영향은 확인되지 않았지만, 영향을 받았을 가능성이 있는 고객 전원에게 통지를 실시한 후 무료로 보안 알림서비스를 제공하고 있습니다.

Accellion의 파일전송 서비스는 전세계에 3000 이상의 고객이 이용하고 있는 것으로 알려져 있습니다. Kroger에 이어 해당 서비스를 이용하던 워싱턴주 감사국은 2021년 2월 1일에 약 160만 건의 실업보험 청구에 관한 개인정보가 해킹에 의해 유출됐을 가능성이 있다고 발표했습니다. 뉴질랜드준비은행도 데이터시스템의 일부가 해킹을 받았다고 발표했습니다.

https://www.rbnz.govt.nz/news/2021/01/reserve-bank-responding-to-illegal-breach-of-data-system

Accellion의 파일전송 서비스는 2000년경에 개발된 노후화된 시스템으로, Accellion는 고객에게 자사의 새로운 서비스로 전환하도록 2018년부터 권고하고 있었으며, 2021년 4월 30일에 서비스를 종료한다고 발표했었습니다. Accellion는 외부의 조사원과 협력하여 취약성 조사를 실시한다고 말합니다.

https://www.accellion.com/products/fta/

또한 2020년 12월에는 SolarWinds가 제공하는 네트워크관리 소프트웨어 'Orion Platform'의 취약점을 이용하여 이 소프트웨어를 사용하는 미국정부의 각 기관과 민간기업을 대상으로 한 대규모 해킹이 이루어졌다고 보도되었습니다. 2021년 2월에는 PC 원격제어 소프트웨어 'TeamViewer'를 이용한 수처리시설에 대한 해킹이 이루어졌으며, 타사 소프트웨어를 이용한 해킹사건이 계속해서 터지고 있습니다.