미국 규제당국에 데이터 유출 신고... 가맹점주 SSN 포함 민감정보 탈취
클라우드 저장소 노린 샤이니헌터스, 유통·교육·금융 전방위 공격 확산

[보안뉴스 김형근 기자] 글로벌 편의점 기업 세븐일레븐(7-Eleven)이 국제 사이버 범죄 조직 ‘샤이니헌터스’(ShinyHunters)의 공격으로 가맹점 관련 문서 저장 시스템이 침해됐음을 공식 인정했다.



세븐일레븐은 최근 미국 메인·버몬트·매사추세츠주 규제 당국에 데이터 유출 사실을 신고했다. 다만 전체 피해 규모는 공개하지 않았다.

회사 측이 발송한 침해 사고 통지서에 따르면, 세븐일레븐은 지난 4월 8일(현지시간) 전산망 침입 정황을 최초로 확인했다. 이후 내부 보안팀이 조사에 착수한 결과, 가맹점주 관련 핵심 문서가 저장된 특정 시스템에서 데이터 유출 흔적이 발견됐다.

유출된 정보에는 가맹점주의 이름과 주소, 사회보장번호(SSN) 등 민감한 개인정보가 포함된 것으로 알려졌다. 회사는 이외 추가 유출 항목에 대해서는 공개하지 않았다.

세븐일레븐은 일본 유통기업 Seven & I Holdings 산하 브랜드로, 전 세계 19개국에서 약 8만6000개 매장을 운영하고 있다. 미국 내 가맹점 수만 약 1만개에 달한다.

이번 사고는 샤이니헌터스가 지난 4월 말 CRM 플랫폼 Salesforce 내 세븐일레븐 저장소에서 대규모 데이터를 탈취했다고 주장한 직후 공개됐다.

샤이니헌터스는 최근 기업들이 사용하는 클라우드 기반 저장소와 협업 플랫폼을 집중적으로 노리는 방식으로 공격 범위를 확대하고 있다. 단순 내부망 침투를 넘어 클라우드 저장소에 접근해 핵심 데이터를 대량 탈취하는 수법이 반복되고 있다는 분석이다.

이들은 최근 미국 교육 소프트웨어 기업 Instructure 를 공격해 미국 전역 대학과 초·중·고(K-12) 교육기관 관련 시스템에 혼란을 초래한 바 있다.

또 미국 연방수사국(FBI)은 최근 특별 보안 경보를 통해 샤이니헌터스를 기술·금융·유통 분야를 가리지 않고 활동하는 대규모 사이버 범죄 조직으로 지목했다. FBI는 피해 기업들에 몸값 지급을 거부하고 침해 사실을 즉시 신고할 것을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>