2024년 4월 8일경 National Public Data 유출 사건으로 인해 수십억 명의 데이터가 다크웹에 공개되었습니다. 그러나 많은 피해자는 아직 회사로부터 알림이나 진술을 받지 못했기 때문에 자신의 노출을 인식하지 못하고 있습니다.
최근 한 피해자는 신원 도용 방지 서비스 제공업체로부터 알림을 받고 자신의 데이터가 유출되었다는 사실을 알게 된 후 집단 소송을 제기했습니다. 다크 웹에서 자신도 모르게 데이터가 판매된 사람들에게는 어떤 의미가 있을까요?
National Public Data는 Jerico Pictures, Inc.가 소유하고 있으며, 플로리다에 기반을 둔 신원 조회 업체로서 데이터를 수집합니다. National Public Data의 데이터베이스에 포함된 소비자는 회사에 데이터를 제공하는 데 동의하지 않았습니다.
Christopher Hofmann이 제기한 소송에 따르면, USDoD라는 사이버 범죄 그룹은 이름, 주민등록번호, 주소 등 29억 명의 미국 시민의 개인 데이터가 포함된 데이터베이스를 다크 웹에 게시했습니다. 이 데이터에는 개인의 친척에 대한 정보도 포함되어 있었습니다. 데이터의 독특한 측면 중 하나는 수십 년 동안 거주한 주소가 많았고, 일부 친척은 사망한 지 20년이 넘었다는 점입니다.
해커 그룹은 데이터베이스에 350만 달러의 구매 가격을 제시했습니다. 사이버 보안에 중점을 둔 교육 웹사이트인 VX-Underground는 이 단체로부터 데이터베이스 유출 의도를 통보받은 후 277.1GB 데이터베이스의 정보가 실제이며 정확하다는 것을 확인했습니다. National Public Data는 중요 인프라에 대한 CIRCIA 요건에 구속되지 않기 때문에 회사는 72시간 이내에 유출 사실을 보고할 의무가 없습니다.
"이 암호화되지 않고 편집되지 않은 PII는 피고의 부주의 및/또는 부주의한 작위 및 누락과 고객의 민감한 데이터를 보호하지 못한 완전한 실패로 인해 다크 웹에 노출, 공개 및 판매되었습니다. 해커들은 원고 및 집단 구성원의 신원을 악용하고 도용할 가치가 있다는 이유로 원고 및 집단 구성원의 PII를 표적으로 삼아 획득했습니다. 데이터 유출로 인한 피해자들의 현재와 지속적인 위험은 각자의 평생 동안 남아있을 것입니다."라고 소송의 취지를 설명했습니다.
피해자들에게 알리지 않은 것 외에도, National Public Data는 이번 유출에 대해 공식 성명을 발표하지 않았습니다. 로스앤젤레스 타임즈는 이메일 문의에 "소비자 데이터에 대한 특정 제3자의 주장을 인지하고 있으며 이러한 문제를 조사 중"이라고 답변했다고 보도했습니다. 소송에서는 원고의 가장 큰 우려 사항으로 알림 부족을 언급하고 있습니다.
이 소송에서 Hofmann은 National Public Data에 금전적 구제를 제공하는 등 구체적인 조치를 요청했습니다. 그는 National Public Data에 유출된 모든 PII를 삭제할 것을 요청했습니다. 또한 그는 회사가 앞으로 모든 데이터를 암호화하고, 데이터 세분화를 사용하고, 데이터베이스를 스캔하고, 위협 관리 프로그램을 시작하기를 원합니다. 또한 그는 2034년까지 사이버 보안 프레임워크 평가를 매년 실시하기를 원합니다.
세부 사항은 아직 진화하고 있지만, 이번 유출은 역대 최대 규모 또는 최대 규모의 데이터 유출 중 하나인 것으로 보입니다. 2013년 Yahoo 유출 사건에는 30억 개의 계정이 포함되었고, National Public Data 유출 사건에는 29억 명이 포함된 것으로 보이기 때문에, 이번 최신 침해 사건이 끝난 후에도 Yahoo가 여전히 기록을 보유하고 있을 가능성이 있습니다. 이번 위반 사실이 기록에 남는다면, 이전 2위와 3위는 3위와 4위가 될 것입니다. 2017년 River City Media 유출 사건에는 13억 7천만 건의 기록이 포함된 반면, 2018년 Aadhaar 유출 사건에는 11억 건이 포함되었습니다.
전문가들이 이 문제에 대한 결정을 예측함에 따라 많은 사람들이 과거 사건을 비교하여 비교하고 있습니다. 미국 지방법원 판사인 Lucy Koh는 Yahoo를 상대로 제기한 유사한 소송에서 2019년에 10억 개에 가까운 계정을 보유한 2억 명의 피해자에게 지급하겠다는 Yahoo의 합의를 기각했습니다. Koh는 다음과 같은 이유로 합의 제안을 거절했습니다.
소비자는 현재 상황이 발전함에 따라 데이터 유출 여부를 파악하기 위해 계속 모니터링해야 합니다. 예방 차원에서 개인은 자신의 신용 보고서와 은행 계좌를 주의 깊게 모니터링하고 요청하지 않은 정보나 계좌 요청에 응답하지 않아야 합니다.
미국 공공 정보 연구 그룹의 소비자 감시 책임자인 Teresa Murray는 로스앤젤레스 타임즈와의 인터뷰에서 "이것이 사실 우리 모두의 정보라면 이전의 유출 사건보다 훨씬 더 우려스러운 일입니다."라고 말했습니다(. "사람들이 과거에 예방 조치를 취하지 않았다면 당연히 취했어야 할 조치를 취하지 않았다면 이번 일을 계기로 경각심을 가져야 합니다."
