- FlightAware는 사용자 데이터를 안전하게 보호하지 못하고 모든 것을 유출한 것으로 보이는 기업들의 목록에 합류함
- FlightAware가 어제 보낸 이메일에 따르면, 사용자 ID, 비밀번호, 이메일 주소, 성명, 청구 주소, 배송 주소, IP 주소, 소셜 미디어 계정, 전화번호, 출생연도, 신용카드 번호의 마지막 4자리 등 거의 모든 고객 데이터가 잠재적으로 노출되었을 수 있음
FlightAware가 사용자에게 보낸 메시지
- 7월 25일, FlightAware 계정의 개인 정보가 실수로 노출되었을 수 있는 구성 오류를 발견함
- 노출된 정보에는 사용자 ID, 비밀번호, 이메일 주소 외에도 성명, 청구 주소, 배송 주소, IP 주소, 소셜 미디어 계정, 전화번호, 출생연도, 신용카드 번호 마지막 4자리, 소유한 항공기 정보, 업계, 직책, 조종사 여부, 계정 활동(조회한 항공편, 게시한 댓글 등) 등이 포함되었을 수 있음
- 노출이 발견되자마자 즉시 구성 오류를 수정했으며, 추가적인 주의를 위해 잠재적으로 영향을 받은 모든 사용자에게 비밀번호 재설정을 요구하고 있음
결론
- 이런 기업들이 고객 데이터를 공개 웹에 노출되지 않도록 하는 것이 어려운 이유를 모르겠음
- FlightAware는 잠재적인 데이터 유출을 72시간 이내에 사용자에게 알려야 하는 EU 소비자 보호 규정을 위반했으며, 3주 이상 걸렸음
GN⁺의 의견
- 데이터 유출 사고는 개인정보 보호와 사이버 보안의 중요성을 다시 한 번 상기시켜 줌. 기업들은 고객 데이터를 안전하게 보호하기 위해 더 많은 노력을 기울여야 함
- 특히 FlightAware와 같은 항공 관련 기업의 경우, 고객 데이터 유출로 인해 심각한 보안 위협이 발생할 수 있음. 예를 들어 테러리스트가 승객 정보를 악용할 수 있음
- 데이터 유출 사고 발생 시 신속하고 투명한 대응이 중요함. FlightAware는 EU 규정을 위반하여 사용자에게 적시에 알리지 않았음. 이는 기업의 신뢰도를 떨어뜨릴 수 있음
- 고객들은 자신의 개인정보를 보호하기 위해 강력한 비밀번호를 사용하고 주기적으로 변경하는 등 기본적인 보안 수칙을 지켜야 함. 또한 의심스러운 이메일이나 링크에 주의해야 함
- 기업들은 데이터 암호화, 접근 통제, 실시간 모니터링 등 다양한 기술적, 관리적 보안 조치를 취해야 함. 또한 임직원 보안 교육, 위기대응 매뉴얼 마련 등 조직 차원의 대비도 필요함