금융 규제 기관이 피싱 공격 당해
연락처, 연봉, 사회보험번호 등 민감 정보 유출

[보안뉴스 김형근 기자] 캐나다투자규제기구(CIRO)가 작년 발생한 데이터 유출 사고로 약 75만 명의 투자자가 피해를 입었음을 공식 확인했다.

CIRO는 캐나다의 투자 딜러와 뮤추얼 펀드, 거래 활동을 감독하는 자율 규제 기구로, 금융 시스템의 핵심 기둥 중 하나다.


[출처: CIRO]

조사 결과, 이번 사고는 작년 8월 11일(현지시간) 포착된 지능적 피싱 공격에서 시작된 것으로 밝혀졌다. 당시 CIRO는 즉각 비정상 시스템 가동을 중단하고 조사에 착수했으나, 전체 피해 규모를 파악하는 데는 긴 시간이 소요됐다.

무려 9000시간 이상의 치밀한 포렌식 조사를 거쳐, 올해 1월 14일에서야 최종 피해 규모와 항목들이 확인됐다.

유출된 정보엔 피해자들의 생일과 전화번호, 연봉은 물론 사회보험번호(SIN)와 정부 발행 신분증 번호 등 민감한 정보들이 포함돼 있었다. 또 투자 계좌번호와 계좌 명세서까지 유출돼 범죄자들이 이를 악용할 경우 심각한 2차 피해가 우려된다.

다만, CIRO는 로그인 자격 증명이나 보안 질문 등은 시스템에 저장하지 않아 이번 유출에서 제외됐다고 강조했다. 현재 도난당한 데이터가 다크웹에 유출되거나 오용된 증거는 발견되지 않았지만, 잠재적 위험은 남아있다.

CIRO는 모든 피해 투자자에게 2년간 무료로 신용 모니터링 및 신원 도용 방지 서비스를 제공하기로 했다. 피해자들에겐 14일부터 순차적으로 안내 서신이 발송되고 있으며, 직접 확인을 원하는 경우 전용 상담 라인을 통해 문의할 수 있다.

이번 사고는 작년 캐나다에서 발생한 여러 대형 보안 사고 중 가장 심각한 사례 중 하나로 기록될 전망이다. 특히 규제 기관 자체가 공격의 대상이 됐다는 점에서 캐나다 금융권 전체에 경종을 울리고 있다.

현재 캐나다 법원엔 CIRO가 개인정보 보호 의무를 소홀히 했다는 이유로 집단 소송이 제기된 상태다. CIRO는 향후 데이터 보존 정책을 전면 재검토하고 보안 인프라를 더욱 강화하겠다고 약속했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>