GN⁺: AT&T 고객 '거의 전부'의 전화 기록 도난 데이터 유출 사건
(techcrunch.com)AT&T 고객 데이터 유출 사건
-
AT&T 데이터 유출 사건
- AT&T는 사이버 범죄자들이 거의 모든 고객의 전화 기록을 도난당했다고 확인함
- 도난된 데이터에는 수백만 AT&T 고객의 전화번호, 통화 및 문자 기록, 위치 관련 데이터가 포함됨
-
도난된 데이터의 내용
- 유선 및 무선 고객의 전화번호, 통화 및 문자 기록 포함
- 통화 및 문자 내용은 포함되지 않음
- 통화 및 문자 기록의 메타데이터(통화 및 문자 횟수, 통화 시간 등)가 포함됨
- 일부 데이터는 2023년 1월 2일 이후의 기록도 포함됨
-
유출된 데이터의 영향
- 약 1억 1천만 명의 AT&T 고객에게 통보 예정
- 다른 통신사 고객의 통화 기록도 포함됨
- 일부 데이터는 위치 추적에 사용될 수 있는 셀 사이트 식별 번호 포함
-
유출 사건의 원인
- AT&T는 4월 19일 데이터 유출을 인지함
- 데이터는 클라우드 데이터 회사 Snowflake에서 도난당함
- Snowflake의 다중 인증 미사용으로 인해 데이터 유출 발생
- Mandiant는 약 165개의 Snowflake 고객 데이터가 도난당했다고 보고
-
법적 대응
- AT&T는 법 집행 기관과 협력하여 사이버 범죄자 체포를 진행 중
- FBI와 DOJ는 국가 안보 및 공공 안전 위험을 이유로 두 차례 공지 연기
-
이전 사건
- AT&T는 올해 초에도 고객 계정 정보 유출 사건을 겪음
GN⁺의 정리
- AT&T의 데이터 유출 사건은 약 1억 1천만 명의 고객에게 영향을 미침
- 데이터 유출의 주요 원인은 Snowflake의 다중 인증 미사용으로 인한 보안 취약점임
- 이번 사건은 고객의 개인정보 보호와 관련된 심각한 문제를 제기함
- 유사한 기능을 제공하는 다른 클라우드 데이터 서비스로는 AWS, Google Cloud 등이 있음
Hacker News 의견
-
AT&T의 1억 1천만 고객이 계정 관리에 추가로 1분씩만 소비해도 209년 이상의 시간이 낭비됨
- 데이터 유출 관련 법률이 더 강력해져야 함
- 기업이 최소한의 보안 조치만 취하는 이유는 유출에 대한 실질적인 처벌이 거의 없기 때문임
- 기업의 책임을 묻고, 과실로 유출을 초래한 사람들을 형사 처벌해야 함
- 막대한 벌금을 부과하여 기업 지도부와 주주들이 실질적인 결과를 겪게 해야 함
-
Snowflake의 데이터 유출 사건은 AT&T의 운영 측면이 아닌 마케팅 파트너에게 판매된 데이터가 유출된 것임
- Snowflake의 사명은 데이터 사일로를 허물고, 복잡성을 극복하며, 안전한 데이터 협업을 가능하게 하는 것임
- 유럽에서는 이러한 데이터 저장이 불법이며, 유럽 인권 협약과도 맞지 않음
- 서비스 제공자가 이러한 데이터를 저장할 필요가 없으며, 법률로 이를 금지하는 것이 쉬움
-
10년 전에 AT&T 계정을 해지했지만, 여전히 주소, 이름, SSN이 저장되어 있었음
- 무능한 조직을 처벌할 법률이 없는 것은 터무니없음
-
AT&T 주가는 초기 -2.6% 하락에서 회복되었고, Snowflake는 -3.9% 하락함
- 시장은 AT&T가 면역이라고 생각함
-
TechCrunch 기사에 따르면, 셀 사이트 식별자가 포함되어 있어 대략적인 위치도 유출됨
-
소비자들은 데이터 유출에 무감각해져서 분노가 거의 없음
- 소비자의 분노가 없으면 기업이 데이터 유출을 막기 위해 더 많은 노력을 할 동기가 없음
-
올해 초 SSN이 다크 웹에 유출됨
- 1년간의 모니터링으로는 충분하지 않으며, 평생 모니터링이 필요함
- 보안에 대한 실질적인 동기가 없음
- 무기한 모니터링 비용을 지불하게 해야 함
-
AT&T와 같은 기업은 신원 도용에 면역임
- 기업의 EIN은 공개되어 있지만, 이를 통해 신원 도용이나 신용카드 사기를 저지를 수 없음
-
데이터는 시간이 지나면 삭제되어야 함
- 고객이 지난 해 누가 전화를 걸었는지 확인할 필요는 거의 없음
- 범죄 수사나 스파이 활동과 같은 경우를 제외하고는 고객이 데이터 저장 기간과 사용 방법을 결정할 권한이 없음
- 기업은 고객이 자신의 데이터를 관리할 수 있는 도구와 기능을 제공해야 함