7월 개인정보 유출...2달 간 조사 후 피해 고객 통지
경매, 명품 등 부유층 고객 많은 산업군 노린 사이버 범죄 기승

[보안뉴스 김형근 기자] 세계적 경매 기업 소더비(Sotheby’s)가 7월 발생한 대규모 데이터 유출 사건에 대한 약 두 달 간의 조사를 마치고 최근 피해 고객에 관련 내용을 통지했다.

이 사고로 고객의 이름, 사회보장번호(SSN), 금융 계좌 정보를 포함한 민감한 개인 정보가 외부 유출된 것으로 확인됐다.



1744년 런던에서 설립됐으며, 현재 뉴욕에 본사를 두고 있는 소더비는 미술품, 보석, 명품 등을 취급하는 유서 깊은 국제 경매소다.

소더비는 지난 7월 24일(현지시간) 미상의 공격자가 자사 시스템에서 데이터를 훔쳐 갔다는 사실을 인지하고 즉시 외부 전문가와 함께 광범위한 조사에 착수했다. 탈취당한 데이터의 종류와 피해를 입은 개인을 정확히 파악하는데 두 달이 걸렸다.

소더비는 법무부에 제출한 데이터 침해 통지서에서 “소더비는 어떤 데이터가 유출됐는지, 유출 데이터에 포함됐을 가능성이 있는 개인 정보가 누구와 관련이 있는지 확인하기 위해 포괄적 검토를 진행했다”고 밝혔다.

검토는 9월 24일 마무리됐고, 이후 소더비는 피해 고객에 대한 개별 통지 절차에 착수했다. 피해 고객의 정확한 수는 공개하지 않았다.

소더비는 피해 고객에게 소비자 신용 정보 업체 트랜스유니온(TransUnion)을 통해 12개월간 무료 신원 보호 및 신용 모니터링 서비스를 제공하겠다고 밝혔다.

현재 이번 공격이 자신들의 소행이라 주장하는 사이버 범죄 집단은 나타나지 않았다.

명품이나 미술품 등 고가 자산을 거래하는 분야 기업은 부유한 고객들의 금융 및 신원 정보를 대량 보유하고 있어 사이버 범죄자들에게 매력적 표적이 되고 있다.

소더비 경쟁사 크리스티(Christie’s) 역시 작년 5월 사이버 공격을 받은 바 있다. 당시 크리스티는 랜섬웨어 그룹 ‘랜섬허브’(RansomHub)로부터 데이터 유출 위협을 받은 후 유출 사실을 시인했다.

이 해킹 그룹은 크리스티 고객 50만 명 이상의 개인 정보 등 2GB 분량의 민감 정보를 훔쳤다고 주장했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>