국가 공공 데이터 침해로 29억 건의 기록 노출

국가 공공 데이터 침해로 29억 건의 기록 노출

역사상 최대 규모의 데이터 침해 사고 중 하나가 이제 세상에 알려졌으며, 귀하의 개인정보도 이번 사고에 포함되었을 가능성이 충분히 있습니다. 2024년 4월 8일경 발생한 National Public Data 침해 사고로 미국 시민 약 29억 명의 개인 기록이 노출되었습니다. 성명, 사회보장번호, 자택 주소 등이 유출된 데이터에 포함되었으며, 이 정보는 이후 USDoD라는 사이버 범죄 집단에 의해 다크웹에 공개되었습니다. 이번 사건의 중심에 있는 플로리다주 소재 신원조회 업체 National Public Data를 상대로 집단소송이 제기된 상태입니다.

National Public Data라는 이름을 처음 들어보신다면, 그것은 당연한 일입니다. 바로 그 점이 이번 침해 사고를 더욱 불안하게 만드는 이유이기도 합니다.

National Public Data는 어떤 회사이며, 왜 당신의 정보를 보유하고 있었나요?

National Public Data는 신원조회 업체로, 공개적으로 이용 가능한 기록과 사적으로 수집한 기록을 취합하여 개인에 대한 상세한 프로필을 구축하는 종류의 회사입니다. 이런 기업들은 대부분 대중의 시야 밖에서 운영되며, 법원 기록, 주소 이력, 고용 기록 등 다양한 출처에서 데이터를 수집합니다.

귀하는 National Public Data에 가입한 적이 없습니다. 그들의 서비스 약관에 동의한 적도 없습니다. 그럼에도 불구하고 그들은 귀하의 가장 민감한 개인정보 일부가 담긴 파일을 보유하고 있었을 가능성이 높습니다. 이것이 데이터 브로커 업계의 작동 방식이며, National Public Data 침해 사고는 직접 거래한 적도 없는 기업들로 인해 얼마나 많은 정보가 노출될 수 있는지를 여실히 보여주는 사례입니다.

유출된 데이터는 다크웹 포럼에서 판매용으로 제공된 후 USDoD에 의해 공개적으로 게시된 것으로 알려져 있습니다. 데이터가 다크웹에서 자유롭게 유통되기 시작하면, 신원 도용 범죄자부터 표적형 피싱 공격을 감행하는 사기꾼에 이르기까지 광범위한 악의적 행위자들이 접근할 수 있게 됩니다.

어떤 정보가 노출되었으며, 위험은 무엇인가요?

이번 침해 사고에서 노출된 데이터의 조합은 특히 위험합니다. 사회보장번호는 성명 및 주소와 결합될 경우, 범죄자들이 신원 사기를 저지르는 데 필요한 거의 모든 정보를 갖추게 됩니다. 여기에는 다음과 같은 행위가 포함됩니다:

• 귀하의 이름으로 사기 신용 계좌 개설
• 환급금을 노린 허위 세금 신고서 제출
• 궁극적으로 귀하가 책임지게 될 대출 실행
• 정부 기관과의 통신에서 귀하를 사칭

몇 분 안에 변경할 수 있는 손상된 비밀번호와 달리, 사회보장번호는 사실상 영구적입니다. 로그인 자격증명을 재설정하듯 초기화할 수 없습니다. 그렇기 때문에 SSN이 포함된 침해 사고는 그 결과가 유독 오래 지속됩니다.

설상가상으로 National Public Data는 피해 당사자들에게 적극적으로 통보하지 않았습니다. 많은 사람들이 자신의 정보가 현재 다크웹에서 유통되고 있다는 사실을 전혀 모른 채 지내고 있습니다.

이것이 귀하에게 의미하는 바

훌륭한 디지털 보안 습관을 유지하고, 강력한 비밀번호를 사용하며, 신중하게 인터넷을 이용하더라도, 이번 침해 사고는 귀하와는 무관한 이유로 귀하에게 영향을 미쳤을 가능성이 높습니다. 이것이 이번 사건이 주는 핵심 교훈입니다. 개인 데이터 보호는 단순히 온라인에서 무엇을 하느냐의 문제가 아닙니다. 귀하에 대해 수집된 데이터를 제3자가 어떻게 다루느냐의 문제이기도 합니다.

지금 당장 취할 수 있는 구체적인 조치들을 소개합니다:

• 3대 신용평가기관(Equifax, Experian, TransUnion) 모두에 신용 동결을 신청하세요. 신용 동결은 무료이며, 귀하의 직접적인 개입 없이는 귀하의 이름으로 새로운 계좌가 개설되는 것을 방지합니다.
• 신용 보고서를 정기적으로 확인하세요. 미국에서는 AnnualCreditReport.com에서 매주 무료로 보고서를 열람할 수 있습니다.
• 피싱 시도에 주의하세요. 귀하의 이름과 주소가 범죄자의 손에 들어갔을 수 있으므로, 표적형 사기 이메일 및 전화가 더욱 설득력 있게 느껴질 수 있습니다. 개인정보 확인을 요청하는 모든 불청객 연락에 회의적인 태도를 유지하세요.
• 신원 모니터링 서비스 이용을 고려하세요. 귀하의 정보가 새로운 데이터 침해 사고나 의심스러운 맥락에서 발견될 경우 알림을 받을 수 있습니다.
• ssa.gov에서 사회보장국 계정을 검토하여 낯선 활동이 없는지 확인하세요.

이러한 조치들은 SSN 및 주소와 같이 정적인 데이터가 노출된 것에 따른 구체적인 피해를 해결하기 위한 것입니다. 그러나 지속적인 디지털 활동을 보호하는 것은 별도의, 그리고 똑같이 중요한 방어 계층입니다. hide.me와 같은 VPN을 통해 인터넷 연결을 암호화하면 귀하의 브라우징 습관, 위치 데이터, 온라인 통신이 데이터 브로커와 악의적 행위자들이 앞으로 수집할 수 있는 정보 풀에 추가되지 않도록 보호할 수 있습니다. 이것이 National Public Data가 노출한 정보를 되돌리지는 못하지만, 매일 새롭게 노출되는 데이터의 양을 제한하는 데는 도움이 됩니다.

데이터 프라이버시에 대한 더 넓은 경각심

National Public Data 침해 사고는 고립된 사건이 아닙니다. 이는 구조적 문제의 가장 크고 가장 가시적인 사례입니다. 기업들이 방대한 양의 민감한 개인 데이터를 수집하고, 이를 안전하지 않게 저장하며, 문제가 발생했을 때 피해 당사자들에게 통보하지 않는 문제입니다. 집단소송이 결국 책임을 묻는 결과로 이어질 수도 있지만, 법적 절차는 더디게 진행되고 귀하의 정보는 이미 외부에 유출된 상태입니다.

프라이버시 보호는 여러 단계에서 작동해야 합니다. 신용 동결은 신원 사기 위험을 해소합니다. 피싱에 대한 경계는 사회공학적 위험을 해소합니다. 그리고 지속적인 데이터 발자국을 최소화하는 도구를 사용하는 것은 미래의 노출 위험을 해소합니다. 이 중 어떤 조치도 단독으로는 충분하지 않지만, 함께 적용하면 의미 있는 방어막을 구축할 수 있습니다.

온라인 프라이버시를 통제하고 싶으시다면, [VPN 암호화의 작동 방식](internal-link)과 [알려진 침해 사고에 귀하의 데이터가 등장했는지 확인하는 방법](internal-link)을 알아보세요. hide.me VPN은 귀하의 연결을 비공개로 유지하고 귀하의 활동이 이미 보호 능력이 없음을 입증한 데이터 브로커들의 손에 들어가지 않도록 하는 광범위한 프라이버시 전략의 일부입니다.