News & Blog

결국 다크웹에 올라온 메디뱅크 고객 정보, 이름, 주소, 생년월일까지

호주 최대 보험사 메디뱅크 (Medibank)가 자정까지 요청 금액을 지불하지 않자, 결국 메디뱅크를 상대로 사이버 공격을 했던 해커 집단이 다크웹에 고객 정보를 게시하기 시작했다. 현재, 메디뱅크 고객 수백여명의 이름, 주소, 생년월일, 메디케어 세부 정보가 다크웹 블로그에 게시된 것으로 추정된다. 하지만, 아직까지 메디뱅크 보험사 측은 현 상황에 대해서는 언급하지 않고 있는 것으로 보인다.

이번 메디뱅크 보험사를 대상으로 사이버 공격을 감행한 해커 집단은 고객 정보 유출을 하지 않는다는 조건으로 메디뱅크 측에 돈을 지불할 것을 요청했지만, 메디뱅크 측은 이번주 초에 추가적인 범죄 발생을 초래할 수 있음을 이유로 지불하지 않겠다고 발표했다. 이후, 해커 집단은 11월  10일 수요일 자정이 지나자 첫번째 리스트를 게시하며 지속적으로 조금씩 고객 정보를 게시하겠다고 언급했다. 뿐만 아니라 해커 집단은 최근 메디뱅크 측과의 메세지 내용을 스크린샷을 통해 공개한 것으로 추정된다.

지난 11월 7일 월요일, 호주 최대 보험사 메디뱅크는 16만명의 자사 고객, 30만명의 ahm 보험사 고객, 2만명의 해외 고객, 도합 약 50만명에 달하는 고객 건강 정보가 정체 모를 해커 집단에게 도난당했다고 인정한 바 있다. 하지만, 메디뱅크 측은 해커 집단이 접근한 것으로 보이는 이름, 주소, 전화번호, 이메일 주소 등의 고객 정보는 메디뱅크 보험사 고객 510만명, ahm 보험사 고객 280만명, 유학생을 포함한 해외 고객 180만명으로 추정하고 있으며, 다행히도, 해커 집단이 신용카드 및 은행 계좌 정보에는 접근하지 않았다고 설명했다.

해커 집단은 11월 8일 화요일, ‘24시간 이내’에 고객 개인 정보가 게시될 것이라는 내용의 글을 게시했는데, 이에 따라, 메디뱅크 측은 화요일에 다시 한 번 이전 고객과 현재 고객에게 사과함과 동시에 전화, 이메일을 통한 피싱 사기에 주의할 것으로 조언했다.

클레어 오네일 (Clare O’Neil) 이민국 장관은 해커 집단에게 돈을 지불하지 않기로 한 메디뱅크 측의 결정은 정부의 조언과도 일치한다고 설명했다. 클레어 장관은 사이버 범죄자들이 사람들을 속이고 거짓말한다고 비난하면서 이번 개인 정보 유출 피해 가능성이 있는 경우, 주의할 것을 요청한다고 덧붙였다. 또한, 장관은 사이버 범죄자에게 돈을 지불했을 경우, 그 댓가로 조치를 취하기도 하지만, 다시금 회사 또는 개인을 범죄의 대상으로 삼는 경우가 많다며 사이버 범죄자에게 돈을 지불하지 말 것을 당부하기도 했다.

현재 호주 정부는 호주 신호 정보국 (Australian Signals Directorate)을 포함한 정부 각 부처와 협력을 통해 메디뱅크 보험사 측과 함께 이번 상황을 해결하고 개인 정보 유출 피해자를 돕기 위해 가능한 모든 지원을 제공하려고 노력 중에 있다. 현재, 호주 연방 경찰청(AFP)은 FBI와 함께 이번 메디뱅크 고객 정보 유출, 옵터스 고객 정보 유출의 배후를 추적하고 있으나, 수사가 복잡해 오랜 시간이 소요될 것이라고 한다.

연이은 호주 기업들의 고객 개인 정보 유출 사건으로 리스 커쇼(Reece Kershaw), 호주 연방 경찰청장은 기업들에게 개인 정보 유출이 의심될 경우 최대한 빨리 정부 측에 연락할 것을 강조했다.

호주 최대 보험사 메디뱅크 보험사의 고객 정보 유출은 그 대상이 호주 거주자에 국한되지 않고 유학생들까지 포함되어 있으며, 접근이 의심되는 고객 정보에는 사적인 개인 건강 기록까지 포함되어 있어 더욱 우려가 되고 있다. 호주 정부 및 기업 측의 적극적인 조치로 교민들의 피해가 최대한 없기를 바란다.