호주에서 발생한 가장 큰 15가지 데이터 유출 사건 [2026]

1. 서론: 왜 데이터 유출은 모든 조직에 위험이 되는가?#

우리가 살고 있는 상호 연결된 세계에서 사이버 보안의 중요성은 그 어느 때보다 명확해졌습니다. 디지털 기술이 발전함에 따라 사이버 범죄자들의 전술도 진화하고 있으며, 이는 전 세계적으로 데이터 유출의 급증으로 이어지고 있습니다. 이러한 사이버 공격 증가에 가장 큰 영향을 받는 국가 중 하나는 호주이며, 호주는 최근 몇 년 동안 수백만 명에게 영향을 미친 일련의 중대한 데이터 유출 사건을 목격했습니다. 이러한 유출은 민감한 정보를 노출했을 뿐만 아니라 사용자 데이터를 보호하기 위한 고급 보안 솔루션의 시급한 필요성을 강조했습니다.

사이버 보안 분야의 글로벌 리더가 되기 위한 호주의 여정은 과제와 발전으로 점철되어 있습니다. 국가는 **국가 사이버 보안 전략 2023-2030(National Cyber Security Strategy 2023-2030)**과 같은 이니셔티브, 전담 사이버 보안 장관(Minister for Cyber Security) 임명, Essential Eight 프레임워크 구현을 통해 사이버 보안을 개선하기 위한 사전 예방적 조치를 취했습니다. 그러나 이러한 노력에도 불구하고 데이터 유출의 빈도와 규모는 계속해서 증가하고 있습니다.

이 블로그 게시물은 피해 사용자 수를 기준으로 호주에서 발생한 가장 큰 데이터 유출에 대한 개요를 제공하고, 호주가 사이버 범죄자들에게 매력적인 표적이 되는 요인을 탐구하며, 왜 유출되지 않은 조직조차도 이제 위협을 받고 있는지 설명합니다.

우리는 다양한 출처(예: 웹버 인슈어런스(Webber Insurance), 사이버 데일리(Cyber Daily), 2023년 7월부터 12월까지의 OAIC 통지 대상 데이터 유출 보고서(OAIC’s notifiable data breaches report from July to December 2023))에서 가장 큰 데이터 유출 데이터를 수집하여 2024년에 특별히 초점을 맞추고 이러한 유출이 개인과 기업에 미치는 영향을 논의합니다.

2. 왜 호주는 데이터 유출의 매력적인 표적인가?#

호주는 특히 무려 180만 개의 사용자 계정이 손상된 2024년 1분기에 데이터 유출의 급격한 증가를 경험했습니다. 이는 2023년 마지막 분기 대비 놀라운 388% 증가를 나타내며, 호주를 전 세계에서 15번째로 손상된 국가로 끌어올렸습니다.

2004년 이후 약 3,700만 개의 고유한 호주 이메일 식별자가 유출되었으며, 이는 평균적으로 1분에 13개의 계정이 손상되는 것과 같습니다. 종합해보면, 이러한 유출로 인해 9,700만 개의 비밀번호를 포함하여 호주에서 총 4억 1,600만 건의 개인 기록이 노출되었습니다(자세한 내용은 여기와 여기 참조).

호주가 사이버 범죄자들의 표적으로서 매력적인 데에는 몇 가지 요인이 있습니다:

1. 성장하는 디지털 경제 및 높은 연결성: 호주는 빠르게 성장하는 디지털 경제를 가지고 있습니다. 이러한 광범위한 디지털 채택은 개인 사용자부터 대기업에 이르기까지 잠재적 표적의 방대한 풀을 형성합니다. 게다가 기술에 정통한 인구와 선진적인 디지털 인프라를 갖춘 호주의 높은 수준의 연결성은 사이버 범죄자들에게 수익성 있는 표적이 됩니다.

Taken from Notifiable Data Breaches Report July to December 2023

2. 암시장, 개인 데이터에 기록적인 금액 지불: 암시장에서 개인 데이터의 가치가 급등하면서 호주의 풍부한 디지털 정보는 매우 탐나는 대상이 되었습니다. 사이버 범죄자들은 특히 금융 데이터, 의료 기록, 그리고 정부 데이터베이스에 끌립니다.
3. 사이버 보안 준비의 과제: 사이버 보안에 대한 상당한 투자에도 불구하고 많은 호주 조직은 보안 조치를 완전히 구현하고 유지하는 데 여전히 어려움을 겪고 있습니다. Cloudflare의 설문조사에 따르면 호주 기업의 41%가 지난 한 해 동안 적어도 한 번의 데이터 유출을 경험했으며, 33%는 동일한 기간 내에 11번 이상의 유출을 보고했습니다. 이는 인식이 높아지고 있음에도 불구하고 효과적인 사이버 보안 전략의 실행은 일관되지 않아 많은 조직이 공격에 취약하게 남아 있음을 시사합니다.

Taken from Notifiable Data Breaches Report July to December 2023

4. 전략적 중요성 및 혁신 허브: 아시아 태평양 지역에서 호주의 전략적 중요성과 혁신 허브로서의 명성은 사이버 스파이 및 국가 후원 공격의 표적이 되기도 합니다. 새로운 기술을 테스트하고 채택하는 선도 국가로서, 호주는 최첨단 디지털 시스템이 완전히 보안되기 전에 이를 방해하거나 악용하려는 이들의 십자선에 자주 놓입니다.
5. 정부의 사이버 보안에 대한 집중도 증가: 국가 사이버 보안 전략 2023-2030과 같은 이니셔티브와 전담 사이버 보안 장관의 임명으로 예시되는 호주 정부의 사이버 보안에 대한 집중은 혜택과 위험을 동시에 가져왔습니다. 이러한 노력은 국가의 방어를 강화하는 것을 목표로 하지만, 새로운 보안 조치를 도전하고 우회하려는 정교한 공격자의 주의를 끌기도 합니다.

호주의 데이터 유출 급증은 좋은 사이버 보안 태세의 필요성을 강조합니다. 2030년까지 이 분야의 선두 주자가 되기 위해 노력함에 따라 국가는 기존 취약성을 해결하고 이니셔티브를 기반으로 더욱 탄력적인 디지털 환경을 조성해야 합니다. 피싱 방지 다중 요소 인증을 제공하는 패스키와 같은 솔루션은 사용자 데이터를 보호하고 전반적인 사이버 보안을 향상시키는 데 중요한 진전을 나타냅니다. 또한, 다크 웹 모니터링 및 사이버 위협 정보 공유와 같은 대응 노력은 국가가 잠재적 공격에 대비하고 데이터 유출의 영향을 줄이는 데 도움이 될 것입니다. 새로운 기술에 투자함으로써 호주는 사이버 위협으로부터 방어할 뿐만 아니라 사이버 보안 분야의 글로벌 리더가 될 수 있습니다.

3. 호주에서 최근 발생한 주목할 만한 데이터 유출#

다음에서 호주에서 발생한 가장 큰 데이터 유출 목록을 찾을 수 있습니다. 데이터 유출은 영향을 받은 고객 계정 수를 기준으로 내림차순으로 정렬됩니다. 이 목록은 호주에 본사를 둔 기업에 초점을 맞추며 호주 시민의 데이터가 관련된 국제 기업은 제외합니다.

3.1 Canva 데이터 유출#

2019년 5월, 호주의 거대 기술 유니콘인 Canva는 전 세계 1억 3,700만 명의 사용자의 개인 정보를 손상시킨 중대한 데이터 유출의 희생양이 되었습니다. 이 유출은 "Gnosticplayers"라는 가명으로 활동하는 해커에 의해 조직되었으며, 그는 Canva의 시스템에 침투하여 민감한 사용자 데이터에 접근했습니다. 공격은 진행 중일 때 Canva의 보안 팀에 의해 탐지되었으나, 해커가 저지되기 전에 이미 많은 양의 데이터가 유출되었습니다.

흥미롭게도, 도난당한 데이터를 다크 웹 포럼에 판매하는 일반적인 관행 대신, 해커는 언론 매체인 ZDNet에 직접 연락하여 유출을 자랑했습니다. 법 집행 기관을 피하기 위해 일반적으로 익명이 유지되는 사이버 범죄 세계에서 이러한 공개 폭로는 흔치 않은 일입니다.

유출 후 Canva는 영향을 받은 사용자에게 즉시 알리고 암호가 해독된 비밀번호를 가진 사용자는 즉시 재설정할 것을 촉구했습니다. 또한 회사는 이전 6개월 동안 비밀번호를 업데이트하지 않은 계정에 대해 강제 비밀번호 재설정을 시행했습니다.

3.2 Latitude 데이터 유출#

2023년 3월, 호주의 저명한 개인 대출 및 금융 서비스 제공업체인 Latitude Financial은 최근 호주 역사상 가장 심각한 데이터 유출 중 하나를 경험했습니다. 처음에는 Latitude가 약 328,000명의 고객이 영향을 받았다고 보고했습니다. 그러나 조사가 진행되면서 유출로 인해 호주와 뉴질랜드 전역의 1,400만 명 이상의 개인 정보가 손상되었음이 분명해졌습니다.

이 유출은 사이버 범죄자가 훔친 직원 자격 증명 세트를 사용하여 Latitude의 시스템에 접근 권한을 얻었을 때 발생했습니다. 이 무단 접근을 통해 공격자는 이름, 연락처 정보, 운전면허증 및 여권 번호와 같은 식별 세부 정보를 포함한 방대한 양의 민감한 고객 데이터를 탈취할 수 있었습니다. 노출된 데이터의 상당 부분이 2005년까지 거슬러 올라가기 때문에, 이토록 오래된 기록이 왜 여전히 필수 보존 기간을 넘어서 저장되어 있었는지에 대한 의문이 제기되면서 이 유출은 특히 우려스러웠습니다.

호주 정부는 연방 사이버 기관이 민간 부문 유출에 개입할 수 있는 권한을 확대하는 등 강력한 조치를 검토함으로써 대응했습니다. Latitude는 현재 유출 처리와 관련하여 조사를 받고 있으며, 보안 관행과 회사가 이러한 공격을 방지하기 위해 충분한 조치를 취했는지 여부에 대한 질문이 제기되고 있습니다.

3.3 MediSecure 데이터 유출#

2024년 5월, 호주의 처방전 배달 서비스의 핵심 업체인 MediSecure는 1,290만 명의 개인 정보를 노출한 심각한 데이터 유출을 겪었습니다. 의사에서 약국으로 처방전의 전자 및 종이 전송을 용이하게 하는 단 두 개의 서비스 중 하나였던 MediSecure는 랜섬웨어 공격의 표적이 되어 민감한 환자 데이터가 포함된 방대한 데이터베이스가 손상되었습니다. 유출된 데이터에는 2023년 11월 이전에 발급된 처방전과 연결된 이름, 주소 및 건강 정보가 포함되어 있었습니다.

이 공격은 건강 데이터가 노출된 개인들뿐만 아니라 기업으로서의 MediSecure에게도 심각한 결과를 가져왔습니다. 유출의 여파로 MediSecure는 관리 체제(administration)에 들어가게 되었는데, 이는 외부 관리자가 재정적으로 어려움을 겪고 있는 회사를 인수하여 운영을 재구성하고 채권자 상환을 관리하려는 절차입니다. 이 사건은 의료 IT 시스템의 중대한 취약점과 그러한 유출이 소비자와 기업 모두에게 미칠 수 있는 파괴적인 영향을 강조했습니다.

호주 정부는 다양한 규제 기관과 함께 유출로 인한 피해를 관리하기 위해 신속하게 개입했습니다. 이들의 대응에는 영향을 받은 개인에 대한 영향을 완화하고 다른 의료 시스템에서 유사한 취약점이 해결되도록 보장하려는 노력이 포함되었습니다.

3.4 Optus 데이터 유출#

2022년 9월에 발생한 Optus 데이터 유출은 거의 980만 명의 고객에게 영향을 미쳤으며, 이는 호주 인구의 거의 40%에 해당합니다. 호주에서 두 번째로 큰 통신 제공업체인 Optus는 국가 지원 그룹이 조직한 것으로 보고된 정교한 사이버 공격의 표적이 되었습니다. 공격자는 Optus의 내부 네트워크에 접근하여 이름, 생년월일, 주소 및 여권, 운전면허증, 메디케어 카드 ID와 같은 식별 번호를 포함한 방대한 양의 민감한 개인 정보를 탈취했습니다.

이 유출은 보안되지 않은 API 엔드포인트를 통해 용이해진 것으로 여겨지며, 이를 통해 공격자는 인증 조치를 우회하고 데이터에 직접 접근할 수 있었습니다. Optus 시스템의 이러한 취약점은 특히 대량의 개인 데이터를 처리하는 회사에 마련된 사이버 보안 조치의 적절성에 대한 심각한 의문을 제기했습니다.

유출 후 공격자는 훔친 데이터의 샘플을 온라인 포럼에 게시하고 암호화폐로 150만 호주 달러의 몸값을 요구했습니다. 그러나 법 집행 기관의 압력과 추가적인 반향을 두려워했을 가능성이 있는 해커는 며칠 만에 몸값 요구를 철회하고 도난당한 데이터를 삭제했다고 주장하며, 처음 몸값을 게시했던 같은 포럼에 사과문을 발표했습니다.

Optus 유출은 호주의 사이버 보안 인프라에 대한 광범위한 비판을 불러일으켰고, 2023년 4월에 120만 명의 피해 고객이 관련된 집단 소송을 촉발했습니다.

3.5 Medibank 데이터 유출#

2022년 12월, 호주 최대 건강 보험 제공업체 중 하나인 Medibank는 970만 고객의 개인 정보를 손상시킨 주요 데이터 유출의 표적이 되었습니다. 러시아에 기반을 둔 악명 높은 REvil 랜섬웨어 그룹이 조직한 것으로 여겨지는 이 유출은 의료 기록 및 청구 정보를 포함한 고도로 민감한 데이터의 절도를 포함했습니다.

이 사건은 REvil이 다크 웹 블로그에 6GB의 원시 데이터 샘플을 1,000만 달러의 몸값 요구와 함께 게시하면서 밝혀졌습니다. 이 데이터의 공개는 공격자가 훨씬 더 큰 민감한 정보의 보고를 소유하고 있음을 나타내는 섬뜩한 경고 역할을 했습니다. 엄청난 압력에도 불구하고 Medibank는 단호한 입장을 취하며 몸값 지불을 거부했고, 이 결정은 사이버 보안 전문가와 대중 모두에게 찬사와 철저한 조사를 받았습니다.

Medibank가 몸값 요구를 거부한 후 도난당한 데이터가 다크 웹에 전면 공개된 것으로 보고되었습니다. 그러나 현재까지 이 유출과 직접 관련된 신분 도용이나 금융 사기 사례는 확인되지 않았습니다. 공격에 대응하여 Medibank는 고객에게, 특히 신용 조회 및 피싱 시도와 관련하여 경계를 유지할 것을 촉구하는 동시에 사이버 보안 방어를 강화하기 위해 상당한 자원을 투입했습니다.

이 유출은 호주 정보위원회(OAIC)가 Medibank의 데이터 처리 관행에 대해 실시한 중대한 조사를 포함하여 여러 조사를 촉발했습니다. 사이버 보안 조치에 태만함이 발견될 경우, Medibank는 무려 21조 5천억(!) 달러에 달하는 가혹한 벌금에 처할 수 있습니다.

이 유출은 의료 부문에서 민감한 데이터를 처리하는 것과 관련된 위험성을 부각시켰을 뿐만 아니라, 적절한 사이버 보안 보호 조치를 구현하지 못한 조직에 미칠 수 있는 잠재적 결과를 강조했습니다.

3.6 Qantas 데이터 유출#

2025년 6월, 호주 최대 항공사인 Qantas는 최대 600만 명의 고객에게 잠재적으로 영향을 미친 심각한 데이터 유출을 겪었습니다. 이 유출은 마닐라에 위치한 Qantas 콜센터를 표적으로 삼은 정교한 사회 공학적 공격을 통해 발생했으며, 이는 고급 콜센터 소프트웨어로 완화할 수 있었던 취약점을 강조했습니다. 사이버 범죄자는 회사 직원을 사칭하여 제3자 고객 서비스 플랫폼에 무단 접근하고 이름, 이메일 주소, 전화번호, 생년월일, 상용 고객 번호를 포함한 민감한 고객 정보를 탈취했습니다.

Qantas는 피해 고객에게 신속히 알리고 재무 세부 정보, 여권 데이터 및 계정 비밀번호가 손상되지 않았음을 확인했습니다. 이 유출은 중요한 고객 서비스 기능을 아웃소싱하는 것의 보안에 대한 우려를 제기했으며 Qantas가 보안 조치를 검토하고 강화하도록 촉구했습니다. 바네사 허드슨(Vanessa Hudson) CEO는 공개적으로 사과하고 책임을 통감하며 향후 발생을 방지하기 위한 포괄적인 개선을 약속했습니다.

3.7 Early Settler 데이터 유출#

2024년 8월, 유명 호주 가구 및 가정용품 소매업체인 Early Settler는 110만 명의 고객 개인 정보를 노출한 심각한 데이터 유출을 겪었습니다.

유출은 Early Settlers 고객 데이터베이스에 대한 무단 접근이 발견된 후 탐지되었지만, 구체적인 유출 방법은 공개되지 않았습니다. 회사는 피해 고객에게 즉시 통지하고 노출된 정보로 인해 발생할 수 있는 잠재적인 피싱 시도 및 기타 형태의 신분 도용 사기에 주의할 것을 촉구했습니다.

유출에 대한 대응으로 Early Settlers는 향후 사고를 예방하기 위해 사이버 보안 조치를 강화할 것을 약속하고 고객 데이터를 보호하기 위해 필요한 모든 단계를 밟고 있다고 고객을 안심시켰습니다.

3.8 Clubs NSW 데이터 유출#

2024년 5월, 호주 뉴사우스웨일스주의 등록 클럽을 대표하는 주요 기관인 Clubs NSW는 약 100만 회원의 개인 정보를 손상시킨 데이터 유출을 겪었습니다. 이 유출은 전체 이름, 이메일 주소, 멤버십 세부 정보, 전화번호, 물리적 주소를 포함한 민감한 데이터에 대한 무단 접근을 포함했습니다.

이 유출은 피싱 공격, 신분 도용 및 기타 악의적인 활동에 활용될 수 있는 멤버십 정보 노출로 인해 중대한 우려를 낳았습니다. 유출 사실을 발견한 후 Clubs NSW는 즉시 피해 회원에게 통지하고 손상된 정보를 악용할 수 있는 의심스러운 통신에 주의할 것을 권고했습니다.

정확한 공격 방법은 공개되지 않았지만 대량의 개인 및 회원 데이터를 처리하는 조직의 취약성을 강조합니다. 이 사건은 대기업만큼 엄격하게 데이터 보호를 우선시하지 않을 수 있는 협회 및 회원 기반 조직 내에서 향상된 사이버 보안 관행의 필요성에 대한 관심을 끌기도 했습니다.

유출에 대응하여 Clubs NSW는 보안 인프라를 강화하기 위한 조치를 취하고 향후 사고를 방지하기 위해 사이버 보안 전문가와 협력했습니다.

3.9 ProctorU 데이터 유출#

2020년 7월, 원격 학생들이 널리 사용하는 온라인 감독 서비스인 ProctorU는 444,000명의 사용자 이메일 주소를 노출한 심각한 데이터 유출에 연루되었습니다. 이 유출은 18개 회사에 영향을 미치고 총 3억 8,600만 개의 기록을 손상시킨 대규모 데이터 유출의 일부였습니다.

유출의 심각성에도 불구하고 ProctorU는 재무 정보나 기타 민감한 개인 데이터는 손상되지 않았다고 보고했습니다. 그러나 특히 주요 교육 기관과 연결된 이메일 주소의 노출은 피해 사용자를 대상으로 한 잠재적인 피싱 공격 및 기타 악의적인 활동에 대한 우려를 낳았습니다.

이 사건은 원격 학습 시대에 점점 더 필수적이 된 온라인 서비스 내의 취약성을 강조했습니다.

3.10 Tangerine Telecom 데이터 유출#

2024년 2월, 호주의 인기 통신 제공업체인 Tangerine Telecom은 232,000명 고객의 개인 정보를 노출한 데이터 유출을 겪었습니다. 손상된 데이터에는 전체 이름, 생년월일, 모바일 번호, 이메일 주소, 우편 주소, Tangerine 계정 번호가 포함되었습니다. 이 유출은 노출된 정보의 상세한 특성으로 인해 중대한 우려를 불러일으켰으며, 이는 신분 도용 및 표적 피싱 공격에 악용될 수 있습니다.

유출은 Tangerine의 고객 데이터베이스에 대한 무단 접근이 발견되면서 탐지되었습니다. 회사는 유출을 억제하고 피해 고객에게 신속하게 알리기 위해 행동했지만, 이 사건은 대량의 민감한 고객 데이터를 처리하는 통신 회사의 보안 조치의 취약성을 강조했습니다.

유출 후 Tangerine Telecom은 고객에게 재무 정보나 비밀번호는 손상되지 않았다고 안심시켰지만, 노출된 데이터는 여전히 잠재적인 피해를 일으키기에 충분했습니다. 회사는 고객에게 의심스러운 통신에 대해 경계하고 비정상적인 활동이 없는지 계정을 모니터링할 것을 촉구했습니다.

3.11 호주 국립 대학교(ANU) 데이터 유출#

2018년 11월, 호주 국립 대학교(ANU)는 약 200,000명의 개인 민감 정보를 손상시킨 고도로 정교한 사이버 공격을 겪었습니다. 호주 역사상 가장 복잡한 유출 중 하나인 이 사건은 거의 6개월 동안 감지되지 않아 공격자가 19년 전 데이터까지 접근할 수 있게 했습니다.

공격자는 4건의 스피어 피싱 캠페션을 사용하여 ANU 네트워크에 침투했습니다. 초기 유출은 한 고위 직원이 무심코 악성 이메일을 열어 공격자가 대학교 시스템 깊숙이 침투하는 데 필요한 자격 증명을 부여했을 때 발생했습니다. 내부로 들어간 공격자는 개인 세부 정보, 세금 파일 번호, 급여 정보, 심지어 학생 학업 성적을 포함하여 대학교의 가장 민감한 기록이 저장된 ANU의 전사 시스템 도메인(ESD)에 접근했습니다.

공격자는 세심하게 흔적을 지우면서 높은 수준의 정교함을 보여주었습니다. 그들은 즉시 접근 로그를 삭제하여 활동 증거를 지웠고 온라인 활동을 익명화하도록 설계된 소프트웨어인 Tor를 사용하여 위치를 숨겼습니다. 이 수준의 운영 보안은 유출 감지를 상당히 지연시켰습니다.

접근을 확대하려는 추가 시도로, 공격자는 손상된 직원의 이메일 계정을 사용하여 두 번째 피싱 이메일 라운드를 발송하여 대학교의 다른 고위 구성원을 가짜 행사에 초대했습니다. 이는 공격의 범위를 넓히고 잠재적인 피해를 증가시켰습니다.

유출의 심각성에도 불구하고 훔친 데이터가 악용되었다는 확인된 증거는 없습니다. 그러나 이 사건으로 인해 ANU는 향후 유출을 방지하기 위해 사이버 보안 인프라를 업그레이드하는 데 수백만 달러를 투자하게 되었습니다.

3.12 Service NSW 데이터 유출#

2020년 4월, 주민들에게 다양한 서비스를 제공하는 뉴사우스웨일스주 정부 기관인 Service NSW는 104,000명의 개인 정보를 노출한 중대한 데이터 유출을 경험했습니다. 유출은 47개의 직원 이메일 계정을 성공적으로 손상시킨 일련의 피싱 공격을 통해 시작되었습니다. 공격자는 약 500만 개의 문서에 접근했으며 그 중 10%에는 민감한 개인 데이터가 포함되어 있었습니다.

접근한 데이터의 방대한 양과 관련된 정보의 민감한 성격으로 인해 유출은 특히 우려스러웠습니다. 노출된 데이터의 구체적인 유형이 완전히 공개되지는 않았지만, 손상된 데이터에는 이름, 주소, 연락처 정보, 그리고 다른 중요한 식별 정보 등 개인 세부 정보가 포함되었을 가능성이 큽니다.

유출 성공에 기여한 주요 요인은 손상된 계정에 다중 요소 인증(MFA)이 없었다는 점입니다. 이 추가적인 보안 계층이 없었기 때문에 공격자는 이메일 계정에 쉽게 접근하고 유지할 수 있었으며 네트워크를 가로질러 이동하며 대량의 민감한 데이터를 수집할 수 있었습니다.

유출에 대응하여 Service NSW는 보안 관행에 대한 포괄적인 검토를 수행하고 시스템 전반에 걸친 MFA 도입을 포함한 더 강력한 보안 조치를 실행하기 시작했습니다.

3.13 Hey You 데이터 유출#

2024년 6월, 인기 있는 호주 식음료 주문 앱인 Hey You는 약 100,000명 고객의 개인 정보를 노출한 데이터 유출을 겪었습니다. 이 유출은 전체 이름, 이메일 주소, 전화번호, 배달 주소, 주문 내역을 포함한 민감한 고객 데이터를 손상시켰습니다. 이러한 데이터 노출은 특히 잠재적인 신분 도용 및 피싱 공격 측면에서 상당한 위험을 제기했습니다.

유출은 Hey You 데이터베이스에 대한 무단 접근이 감지되면서 발견되었습니다. Hey You는 고객에게 결제나 재무 정보가 손상되지 않았다고 확신시켰지만, 유출은 상대적으로 덜 중요해 보이는 데이터라도 보호하는 것의 중요성을 여전히 강조했습니다. 주문 내역 및 배달 주소와 같은 정보는 다른 개인 데이터와 결합될 때 사이버 범죄자에 의해 다양한 악의적인 목적으로 사용될 수 있습니다.

유출에 대응하여 Hey You는 향후 사고를 방지하기 위해 추가 보안 조치를 실행하고 데이터 보호 프로토콜을 강화하기 위해 사이버 보안 전문가와 긴밀히 협력했습니다. 회사는 또한 고객에게 비정상적인 통신에 주의하고 무단 활동 징후가 있는지 계정을 모니터링할 것을 조언했습니다.

3.14 Telstra 데이터 유출#

2024년 4월, 호주 최대 통신 제공업체 중 하나인 Telstra는 약 47,000명 고객의 개인 정보를 노출한 데이터 유출을 공개했습니다. 손상된 데이터에는 이름, 이메일 주소, 전화번호가 포함되었습니다. 이 정보가 포함된 데이터 세트가 해킹 포럼에 게시되면서 노출된 데이터의 잠재적 오용에 대한 우려를 불러일으키며 이 유출이 공개되었습니다.

데이터 세트에는 상당량의 더미 데이터가 포함된 것으로 보고되었지만 실제 고객 정보의 노출은 여전히 신분 도용 및 표적 피싱 사기와 관련하여 심각한 위험을 초래했습니다. Telstra는 유출이 시스템에 대한 직접적인 사이버 공격으로 인한 것이 아니라고 밝혔지만, 이 사건은 무단 접근 및 배포로부터 고객 데이터를 보호하는 데 있어 지속적인 과제를 강조했습니다.

유출에 대응하여 Telstra는 노출 범위를 평가하기 위한 조치를 취하고 재무 정보와 같은 더 민감한 정보는 손상되지 않았다고 고객을 안심시키기 위해 노력했습니다.

더 나아가, Telstra는 소비자를 위한 피싱 방지 MFA로서 패스키를 도입했습니다.

3.15 Sumo 데이터 유출#

2024년 5월, 호주의 에너지 및 통신 제공업체인 Sumo는 약 40,000명 고객의 개인 정보를 손상시킨 데이터 유출을 겪었습니다. 이 유출은 전체 이름, 이메일 주소, 전화번호, 청구 주소, 계정 세부 정보를 포함한 민감한 고객 데이터에 대한 무단 접근을 포함했습니다. 이 정보는 신분 도용, 피싱 사기, 기타 악의적인 활동에 잠재적으로 악용될 수 있습니다.

유출은 Sumo 시스템 내에서 비정상적인 활동이 감지되어 즉각적인 조사가 시작되면서 발견되었습니다. 신용카드 세부 정보와 같은 재무 정보는 손상된 데이터의 일부로 보고되지 않았지만 노출된 정보는 영향을 받은 고객을 위험에 빠뜨리기에 충분했습니다. Sumo는 고객에게 예기치 않은 통신에 특히 경계하고 비정상적인 활동이 없는지 계정을 모니터링할 것을 조언했습니다.

유출에 대응하여 Sumo는 강화된 보안 조치를 실행하고 향후 공격에 대한 방어를 강화하기 위해 사이버 보안 전문가와 긴밀히 협력했습니다.

4. 증가하는 크리덴셜 스터핑의 위협: 왜 모든 회사에게 중요할까?#

우리는 많은 비즈니스가 유출을 겪었으며 거의 모든 호주인의 데이터가 이 유출 사건 중 하나에 포함될 가능성이 높다는 것을 보았습니다. 이제 유출된 조직이 즉시 모든 비밀번호를 변경하더라도 그러한 데이터 유출로 인해 발생하는 위협에 집중해 보겠습니다. 첫 번째 우려는 아마도 크리덴셜 스터핑일 것입니다.

4.1 크리덴셜 스터핑이란 무엇인가?#

크리덴셜 스터핑은 해커가 자동화된 도구를 사용하여 종종 이전 데이터 유출에서 얻은 대량의 사용자 이름과 비밀번호 조합을 시도하여 사용자 계정에 무단 접근을 시도하는 사이버 공격 유형입니다. 무작위 조합을 시도하는 무차별 대입 공격(brute force attack)과 달리, 크리덴셜 스터핑은 많은 사람들이 여러 사이트에서 비밀번호를 재사용한다는 사실에 의존합니다. 이로 인해 공격자가 하나의 유출에서 손상된 로그인 자격 증명을 사용하여 다른 플랫폼의 계정을 표적으로 삼음으로써 계정을 위반하기가 더 쉬워집니다.

Taken from Notifiable Data Breaches Report July to December 2023

4.2 데이터 유출과 크리덴셜 스터핑의 연관성#

데이터 유출은 크리덴셜 스터핑 공격의 주요 연료입니다. 회사의 데이터베이스가 손상되면 종종 사용자 이름, 이메일 주소, 비밀번호가 포함된 훔친 자격 증명이 다크 웹 포럼에서 판매되거나 공유될 수 있습니다. 그런 다음 사이버 범죄자는 상당 비율의 사용자가 여러 다른 사이트에서 비밀번호를 재사용한다는 점을 알기 때문에 이 자격 증명을 사용하여 다른 서비스에 대해 크리덴셜 스터핑 공격을 시작합니다.

예를 들어, 소셜 미디어 사이트의 유출에서 사용자의 이메일과 비밀번호가 노출된 경우, 공격자는 동일한 자격 증명을 사용하여 사용자의 은행, 쇼핑 또는 이메일 계정에 접근을 시도할 수 있습니다. 이는 회사 자체가 직접 유출을 당하지 않았음에도 불구하고 상당한 재정적 손실, 신분 도용, 민감한 정보에 대한 무단 접근으로 이어질 수 있습니다.

4.3 왜 크리덴셜 스터핑은 모든 회사의 걱정거리인가#

여러분의 회사가 데이터 유출을 겪지 않았더라도 크리덴셜 스터핑으로 인한 유출 위험은 여전히 존재합니다. 다른 유출 사건의 자격 증명을 사용하는 공격자가 여러분의 사용자 계정을 표적으로 삼아 민감한 데이터에 접근하고 사기성 거래를 하거나 시스템을 손상시킬 수 있습니다. 이는 보안 위협이 될 뿐만 아니라 브랜드 평판을 훼손하고 사기 및 고객 이탈로 인한 재정적 손실로 이어질 수 있습니다.

**호주의 통지 대상 데이터 유출 제도(Notifiable Data Breaches scheme)**에 따르면 회사는 개인 데이터가 손상된 경우 개인에게 통지해야 합니다. 그러나 크리덴셜 스터핑의 의미는 단순히 사용자에게 알리는 것 이상입니다. 회사는 다중 요소 인증(MFA) 구현, 의심스러운 로그인 시도 모니터링, 손상된 자격 증명이 악용되기 전에 이를 탐지하는 도구 사용과 같은 더 강력한 보안 조치를 시행하여 이러한 공격을 방지하는 데 적극적이어야 합니다.

4.4 크리덴셜 스터핑으로부터 보호#

개인의 경우, Have I Been Pwned와 같은 도구를 사용하여 이메일 주소가 데이터 유출에 연루되었는지 확인하여 자신을 보호하기 위한 조치를 취할 수 있습니다. 기업은 도메인이 손상된 계정과 연결되어 있는지 확인할 수 있는 HudsonRock과 같은 유사한 리소스를 사용하여 잠재적인 크리덴셜 스터핑 공격에 대한 조기 경고 징후를 제공받을 수 있습니다.

5. 호주는 크리덴셜 스터핑의 심각한 위협에 직면해 있습니다#

호주는 불행하게도 1인당 데이터 유출 발생률이 전 세계적으로 가장 높은 국가 중 하나라는 불명예를 안고 있습니다. 위에서 설명한 최근 유출에 대한 분석은 국가에서 가장 크고 신뢰받는 조직 중 일부조차도 사이버 공격의 희생양이 되었음을 보여줍니다. 이러한 민감한 데이터의 광범위한 노출은 특히 여러 플랫폼에서 습관적으로 비밀번호를 재사용하는 사용자의 경우 크리덴셜 스터핑 공격 위험을 크게 증가시킵니다.

통신 제공업체, 금융 서비스, 교육 기관을 포함한 주요 기관의 대규모 유출을 감안할 때 엄청난 수의 호주 자격 증명이 다크 웹에 떠돌고 있을 가능성이 높습니다. 이러한 손상된 자격 증명은 사이버 범죄자가 다양한 계정에 무단으로 접근하기 위해 악용할 수 있어 개인과 기업 모두에게 심각한 위협이 됩니다.

또한, 시민들이 온라인으로 정부 서비스와 상호작용할 수 있도록 하는 호주의 발전된 전자 정부 인프라가 공격자의 매력적인 표적이 되었습니다. 정부 플랫폼 내의 높은 수준의 디지털화는 이를 크리덴셜 스터핑 공격의 주요 대상으로 만들며, 이는 호주 전역의 모든 부문에서 강력한 사이버 보안 조치의 필요성을 더욱 강조합니다.

6. 패스키가 데이터 유출과 크리덴셜 스터핑을 방지하는 방법#

패스키는 종종 데이터 유출 및 크리덴셜 스터핑으로 이어지는 취약성에 대한 훌륭한 솔루션입니다. 패스키는 사용자 장치에 저장된 개인 키와 서버에 저장된 공개 키의 조합을 사용합니다. 해커가 사용자의 공개 키를 얻거나 서버를 손상시키더라도 사용자 장치(TPM 또는 보안 엔클레이브 내)에 안전하게 저장된 해당 개인 키 없이는 로그인할 수 없습니다.

패스키는 크리덴셜 스터핑 공격도 효과적으로 방지합니다. 패스키는 여러 사이트에서 재사용할 수 있는 비밀번호를 포함하지 않으므로 크리덴셜 스터핑의 전체 전제가 무용지물이 됩니다. 해커가 다른 유출된 사이트에서 로그인 정보를 획득하더라도 이를 패스키로 보호된 계정에 접근하는 데 사용할 수 없습니다. 이는 데이터 유출 비율이 높아 다크 웹에서 잠재적으로 손상된 대량의 자격 증명을 이용할 수 있는 호주와 같은 국가에서 특히 중요합니다.

데이터 유출 및 크리덴셜 스터핑을 방지하기 위한 패스키 도입이 어떻게 진행될 수 있는지 살펴보겠습니다. 이를 위해 우리는 4단계로 작업할 것을 권장합니다.

1. 단계: 패스키 도입

   초기 단계에서는 제품에 패스키를 통합하고, 계정 설정에서 그리고 사용자가 기존 로그인 방법으로 성공적으로 로그인한 경우 적극적으로 패스키 생성을 제안합니다(자동 패스키 업그레이드 참조).

2. 단계: 사용자가 기본 인증 방법으로 패스키를 사용하도록 유도

   가능한 한 자주 그리고 기본 인증 방법으로 로그인을 위해 패스키 사용을 장려하는 패스키 퍼스트(passkey-first) 사고를 적용합니다. 기존 인증은 여전히 제공되지만 적극적으로 홍보되지 않습니다.

3. 단계: 패스키의 폴백 및 복구를 위해서만 다른 인증 옵션 제공

   패스키 준비가 되지 않은 장치에서만, 사용할 수 있는 패스키가 없거나 사용자가 패스키 로그인 프로세스를 취소하는 경우 기존 인증 방법을 사용할 수 있습니다.

4. 단계: 시스템에서 비밀번호를 제거하여 전반적인 보안 향상

   충분히 높은 패스키 채택률이 있다면 시스템에서 비밀번호를 제거하여 보안을 더욱 향상시키고 유출된 자격 증명을 쓸모없게 만들 수 있습니다.

7. 결론#

호주에서 데이터 유출 사례가 증가함에 따라, 크리덴셜 스터핑 위협이 조직과 개인 모두에게 중요한 걱정거리가 되었습니다. 다양한 부문에 걸친 민감한 정보의 광범위한 노출은 더 강력한 사이버 보안 조치의 시급성을 강조합니다. 첨단 보안 기능을 갖춘 패스키는 기존 비밀번호 기반 시스템과 관련된 위험을 효과적으로 완화함으로써 이러한 과제에 대한 유망한 솔루션을 제공합니다. 패스키와 같은 혁신적인 기술을 수용함으로써 호주는 사이버 위협에 대한 방어력을 강화하고 시민과 기업의 디지털 신원을 보호할 수 있습니다. 앞으로 나아가면서 조직과 개인 모두가 계속해서 경계하고 끊임없이 진화하는 디지털 환경에서 데이터를 보호하기 위한 모범 사례를 채택하는 것이 중요합니다.

Corbado 소개

Corbado는 대규모로 consumer authentication을 운영하는 CIAM 팀을 위한 Passkey Intelligence Platform입니다. IDP 로그와 일반 analytics 도구가 보여주지 못하는 것을 볼 수 있게 해드립니다: 어떤 디바이스, OS 버전, 브라우저, credential manager가 passkey를 지원하는지, 왜 등록이 로그인으로 이어지지 않는지, WebAuthn 플로우가 어디서 실패하는지, OS나 브라우저 업데이트가 언제 조용히 로그인을 망가뜨리는지 — Okta, Auth0, Ping, Cognito 또는 자체 IDP를 교체하지 않고도 전부 파악할 수 있습니다. 두 가지 제품: Corbado Observe는 passkey 및 다른 모든 로그인 방식에 대한 observability를 더합니다. Corbado Connect는 analytics가 내장된 managed passkey를 제공합니다 (기존 IDP와 함께). VicRoads는 Corbado로 500만+ 사용자에게 passkey를 운영하고 있습니다 (passkey 활성화율 +80%). Passkey 전문가와 상담하기 →

자주 묻는 질문(FAQ)#

영향을 받은 사용자 수를 기준으로 호주 역사상 가장 큰 데이터 유출 사건은 무엇인가요?#

2019년 5월에 발생한 Canva 유출은 규모 면에서 가장 크며, 암호화된 비밀번호와 부분 결제 데이터를 포함하여 전 세계적으로 1억 3,700만 개의 사용자 계정을 손상시켰습니다. 'Gnosticplayers'로 알려진 공격자는 작업 중간에 탐지되었지만 중단되기 전에 이미 많은 양의 데이터를 빼돌렸습니다.

다른 회사의 데이터 유출이 어떻게 우리 조직을 크리덴셜 스터핑 위험에 빠뜨리나요?#

크리덴셜 스터핑 공격은 한 유출에서 도난당한 사용자 이름과 비밀번호 조합을 사용하여 완전히 다른 플랫폼에서 로그인을 시도함으로써, 여러 사이트에서 비밀번호를 재사용하는 널리 퍼진 습관을 악용합니다. 여러분의 조직이 직접 유출을 당한 적이 없더라도, 공격자는 관련 없는 유출에서 출처를 두고 다크 웹 포럼에서 판매된 자격 증명을 사용하여 여러분 사용자의 계정을 표적으로 삼을 수 있습니다.

데이터 유출 후 호주 회사는 어떤 법적 의무를 갖나요?#

호주의 통지 대상 데이터 유출(Notifiable Data Breaches) 제도에 따라 회사는 개인 데이터가 손상된 경우 영향을 받은 개인에게 통지해야 합니다. 부주의한 보안 관행의 결과는 가혹할 수 있습니다. Medibank 유출 조사는 무려 21조 5천억 달러에 달하는 벌금 부과 가능성을 제기하여 부적절한 사이버 보안 조치의 막대한 재정적 위험을 보여주었습니다.

호주의 데이터 유출에서 의료 및 금융 조직이 특히 표적이 되는 이유는 무엇인가요?#

의료 및 금융 조직은 의료 기록, 정부 신분증 및 재무 세부 정보를 포함하여 암시장에서 프리미엄 가격을 받을 수 있는 데이터를 보유하고 있습니다. 2024년 5월의 MediSecure 랜섬웨어 공격은 1,290만 명의 호주인의 건강 정보를 노출시켰고 재정적으로 매우 파괴적이어서 회사는 결국 관리 체제(administration)에 들어갈 수밖에 없었습니다.