채권추심사 FBCS 해킹으로 고객 개인정보 약 27만5000건 노출
“자사 네트워크 침해 없었다” 주장에도 3자 리스크 관리 압박 커져
[보안뉴스 여이레 기자] 매출 기준 세계 4위 통신 기업 컴캐스트가 제3자 해킹으로 발생한 고객 정보 데이터 유출로 인해 150만달러(약 21억원) 벌금을 내기로 미국 연방통신위원회(FCC)와 합의했다. 강화된 컴플라이언스 조치도 이행하기로 했다.
[자료: 컴캐스트]
이번 사건은 지난해 2월 채권추심 업체 파이낸셜비즈니스앤드컨슈머솔루션즈(FBCS)의 시스템이 침해돼 컴캐스트 고객 개인 정보 약 27만5000건이 유출되며 발생했다.
26일(현지시간) FCC와 각종 공시 자료에 따르면, 해커는 2024년 2월 14일부터 26일 사이 FBCS 네트워크에 무단 침입해 컴캐스트 고객 데이터 등 다수 의뢰사의 채권추심 관련 정보를 탈취했다.
컴캐스트는 2022년을 끝으로 FBCS와 거래를 종료했지만, FBCS 시스템엔 여전히 컴캐스트 과거 고객 데이터가 보관돼 있던 것으로 드러났다.
노출된 정보에는 이름, 주소, 생년월일, 사회보장번호(SSN), 컴캐스트 계정번호 및 내부 식별자 등 민감 정보가 포함됐다.
FBCS는 2월 말 침해 사실을 인지하고, 3월 컴캐스트에 고객 정보는 안전하다고 알린 뒤 7월이 돼서야 실제 고객 데이터 유출 사실을 통보했다.
규제 당국은 이 같은 통보 지연과 부정확한 초기 설명이 피해 최소화 조치를 지연시켰다고 보고, 컴캐스트의 벤더 관리와 데이터 파기 의무 이행 여부를 함께 문제 삼았다.
FCC와 합의함에 따라 컴캐스트는 150만 달러를 자발적 기여금 형식으로 납부하고, 향후 3년간 강화된 개인정보 보호·벤더 관리 체계를 운영해야 한다.
합의안에는 △고객 데이터를 처리하는 외부 위탁사에 대한 2년 주기의 정기 리스크 평가 △불필요한 고객 정보의 적정 폐기 의무 준수 △컴플라이언스 책임자 선임 △6개월마다 FCC에 이행 보고서를 제출하고 중대한 위반이 있을 경우 30일 이내 보고할 의무 등이 포함됐다.
컴캐스트는 성명을 통해 자사 네트워크는 침해되지 않았고, 이 사건은 FBCS 시스템에 국한된 것이며 FBCS는 계약상 보안 요구사항을 준수할 책임이 있었다는 점을 강조했다.
이어 규제 당국과의 합의는 장기적인 분쟁을 피하고 고객 보호 조치를 신속히 마무리하기 위한 선택이라고 설명했다.
이번 사건은 채권추심사·아웃소싱 업체 등 3자 협력사의 보안 취약점이 기업 고객 데이터 유출로 직결될 수 있다는 점을 다시 한번 부각시킨다. 업계 전반에 제3자 리스크 관리와 데이터 최소 보유 원칙 준수 압력을 더욱 높이고 있다는 평가다.
[여이레 기자(gore@boannews.com)]
“자사 네트워크 침해 없었다” 주장에도 3자 리스크 관리 압박 커져
[보안뉴스 여이레 기자] 매출 기준 세계 4위 통신 기업 컴캐스트가 제3자 해킹으로 발생한 고객 정보 데이터 유출로 인해 150만달러(약 21억원) 벌금을 내기로 미국 연방통신위원회(FCC)와 합의했다. 강화된 컴플라이언스 조치도 이행하기로 했다.
[자료: 컴캐스트]
이번 사건은 지난해 2월 채권추심 업체 파이낸셜비즈니스앤드컨슈머솔루션즈(FBCS)의 시스템이 침해돼 컴캐스트 고객 개인 정보 약 27만5000건이 유출되며 발생했다.
26일(현지시간) FCC와 각종 공시 자료에 따르면, 해커는 2024년 2월 14일부터 26일 사이 FBCS 네트워크에 무단 침입해 컴캐스트 고객 데이터 등 다수 의뢰사의 채권추심 관련 정보를 탈취했다.
컴캐스트는 2022년을 끝으로 FBCS와 거래를 종료했지만, FBCS 시스템엔 여전히 컴캐스트 과거 고객 데이터가 보관돼 있던 것으로 드러났다.
노출된 정보에는 이름, 주소, 생년월일, 사회보장번호(SSN), 컴캐스트 계정번호 및 내부 식별자 등 민감 정보가 포함됐다.
FBCS는 2월 말 침해 사실을 인지하고, 3월 컴캐스트에 고객 정보는 안전하다고 알린 뒤 7월이 돼서야 실제 고객 데이터 유출 사실을 통보했다.
규제 당국은 이 같은 통보 지연과 부정확한 초기 설명이 피해 최소화 조치를 지연시켰다고 보고, 컴캐스트의 벤더 관리와 데이터 파기 의무 이행 여부를 함께 문제 삼았다.
FCC와 합의함에 따라 컴캐스트는 150만 달러를 자발적 기여금 형식으로 납부하고, 향후 3년간 강화된 개인정보 보호·벤더 관리 체계를 운영해야 한다.
합의안에는 △고객 데이터를 처리하는 외부 위탁사에 대한 2년 주기의 정기 리스크 평가 △불필요한 고객 정보의 적정 폐기 의무 준수 △컴플라이언스 책임자 선임 △6개월마다 FCC에 이행 보고서를 제출하고 중대한 위반이 있을 경우 30일 이내 보고할 의무 등이 포함됐다.
컴캐스트는 성명을 통해 자사 네트워크는 침해되지 않았고, 이 사건은 FBCS 시스템에 국한된 것이며 FBCS는 계약상 보안 요구사항을 준수할 책임이 있었다는 점을 강조했다.
이어 규제 당국과의 합의는 장기적인 분쟁을 피하고 고객 보호 조치를 신속히 마무리하기 위한 선택이라고 설명했다.
이번 사건은 채권추심사·아웃소싱 업체 등 3자 협력사의 보안 취약점이 기업 고객 데이터 유출로 직결될 수 있다는 점을 다시 한번 부각시킨다. 업계 전반에 제3자 리스크 관리와 데이터 최소 보유 원칙 준수 압력을 더욱 높이고 있다는 평가다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
