Allianz Life, 사이버 공격으로 고객의 개인정보 대다수 탈취 당했다고 발표

 (techcrunch.com)
2P by GN⁺ 16시간전 | ★ favorite | 댓글 1개
  • 미국 보험사 Allianz Life가 사이버 공격을 받아 고객, 금융 전문가, 일부 직원의 개인정보가 탈취됨
  • 공격자는 클라우드 기반 CRM 시스템에서 대다수 정보를 사회공학 기법으로 탈취함
  • Allianz Life는 법적 신고 절차를 거쳤으며 FBI에 통보했지만, 해킹 그룹 추정이나 피해자 수는 공개하지 않음
  • 최근 보험 업계 전반에서 유사 데이터 유출 사고가 연이어 발생하며, Scattered Spider 해커 집단의 소행으로 추정되는 사례가 늘고 있음
  • 피해자 개별 통보는 8월 1일경 시작될 예정

Allianz Life 사이버 공격 개요

  • 미국의 대형 보험사 Allianz Life가 TechCrunch에 2025년 7월 중순 발생한 데이터 유출 사고에서 고객을 포함한 다수의 개인정보가 탈취된 사실을 공식 확인함
  • Allianz Life 대변인은 이 사건을 공식적으로 인정하며, 공격 시점은 2025년 7월 16일로 특정함
  • 공격자는 서드파티 클라우드 CRM(고객관계관리) 시스템에 접근해 대다수 고객, 금융 전문가, 일부 직원의 식별 가능한 개인정보를 사회공학 기법을 활용해 탈취함

데이터 유출 및 대응 현황

  • 데이터 유출 사실은 메인주 법적 신고서를 통해 공개되었으며, 피해 고객 수는 즉시 밝히지 않음
  • Allianz Life의 미국 내 고객은 약 140만 명이며, 모회사 Allianz 전체로는 전 세계적으로 1억 2500만 명 이상의 고객 보유 상황임
  • Allianz Life는 FBI에 사건을 통보했으나, 해커로부터의 금전 요구나 직접적인 소통 여부는 공개하지 않음
  • 유출된 범위는 해커가 단독으로 CRM 시스템을 통해 접근했고, 네트워크 내 여타 시스템에는 침해 증거 없음을 강조함

업계 내 유사 해킹 사고와 배경

  • 최근 한 달 동안, Aflac 등 보험사들을 대상으로 한 대규모 해킹 사고가 연달아 발생하는 중임
  • Google의 보안 연구원들은 6월에 보험 업계에 걸쳐 다수 침입 사고를 인지하고 있으며, 사회공학을 활용하는 Scattered Spider 해커 집단의 소행이라고 지목함
    • 사회공학 기법: 사칭 전화 등으로 헬프데스크 담당자를 속여 네트워크 접근 권한을 획득하는 방법 등
  • Scattered Spider는 이전에는 영국 유통업, 항공·운송, 실리콘밸리 IT 대기업까지 다양한 산업을 대상으로 공격한 전력 있음

향후 대응 및 안내

  • Allianz Life는 피해 고객 및 이해당사자들에게 8월 1일경부터 개별 통보를 시작할 계획임
  • 보안 관련 추가 정보 제보와 문의는 별도 암호화 채널을 권장함
GN⁺ 16시간전  [-]
Hacker News 의견

  • 나는 자주 이런 얘기를 하게 됨, 비인기 의견임을 알지만 왜 그런지 잘 모르겠음
    보안 연구자, 화이트햇 해커, 그레이햇 해커는 취약점을 찾았을 때 이를 보고하기만 한다면 강력한 법적 보호를 받아야 함
    악의적인 해커들은 계속해서 보안 취약점을 탐색하지만 이들을 막는 시스템은 없음
    반면 선의의 해커가 같은 행동을 해도 중범죄로 기소됨
    우리가 안전한 시스템을 만드는 데 실패했음은 경험적으로 드러났음
    부끄럽긴 하지만, 우리 대부분의 대기업이나 조직은 안전한 시스템을 만들 역량이 거의 없음
    이 사실을 외면하려는 이유 중 하나가 내부 레드팀 보안 연구조차 허락하지 않아서임
    결과적으로 모든 상황이 기업과 권력 있는 조직에 유리하게 돌아가 버림
    기업은 "우리 시스템은 우리 책임이며, 허가 없이 테스트 안 됨. 근데 데이터가 유출되어도 우리는 책임 없음"이라고 주장함
    즉, 조직은 책임이 있을 때와 아닐 때를 자기 입장에 따라 골라가며 행동함이 참 아이러니함
    기업이 자기 시스템 보안에 책임이 있는가, 아니면 이건 우리 모두의 공동 과제인가? 이 부분은 명확히 해야 함
    국가 인구의 절반 데이터가 자주 유출되는데 이건 모두가 관여하는 문제로 느껴짐
    그리고 이건 실제로 국가 안보 문제임
    예를 들어, 국가 전력망이 안전한지 독립 기구가 이를 점검하는가, 아니면 내가 직접 합법적으로 시도해볼 수 있는가?
    아니, 해도 되지 않음. 시도 자체로 중죄가 됨
    이렇게 강력한 조직이 시스템 보안에 허점이 있어도 아무것도 안 해도 되고, 외부에서는 그 허점을 연구할 수 있는 권리도 없음
    결국 우리는 국가 안보를 기업의 편의성과 기업이 망신 당하지 않기 위해 희생하고 있음

    • Google, facebook, Microsoft의 고객 DB가 정말로 해킹된 적 있었는지 돌이켜보게 됨
      오늘날 소프트웨어를 너무 허술하게 만드는 회사들에 대한 책임이 거의 없음
      데이터 유출 한 건 한 건에 해당 기업 규모에 맞는 피해가 가해져야 함
      예를 들어 Equifax 사태는 거의 기업 자체가 무너질 수준이었어야 함
      벌금이 수십억 달러 수준이어야 경각심 생기고 내부 감사를 제대로 함
      지금은 사실상 보안에 신경 쓸 이유가 전혀 없음

    • 기업들이 실제로 큰 처벌을 받는 구조가 되면, 예를 들어 규제기관이 손해액 산정 및 장기적인 패널티를 부과하는 시스템이 있다고 가정할 때 주가가 하락되고 기업은 보안을 진지하게 신경 쓸 수밖에 없을 것임
      현실은 그와 반대로, 기업들이 가벼운 경고만 받고 끝나는 경우가 많음

    • 흥미로운 주장임
      근데 만약 화이트햇, 그레이햇 모두 합법적 보호를 받게 되면, 블랙햇 해커들이 사전에 모든 시스템을 마음껏 해킹해놓고도 "나는 취약점을 찾고 있었을 뿐"이라고 핑계 댈 수 있을 것 같음
      그냥 취약점을 보고하지 않은 채 모든 방법을 기억해두고 언제든 실제 공격에 써먹을 수도 있음
      심지어 평생을 화이트햇 행세하다가 실제로는 남몰래 그 정보를 팔아넘길 수 있음
      지금 제도는 오히려 그런 행동을 억제하고 있음

    • 이런 문제가 안 생기려면 웹이 어느 정도 익명성이 확보되어 있고, 실수로 보안 취약점을 발견했거나 일반적인 방법으로 처리하다 문제가 발생해도 범죄가 아닌 상황이어야 할 것임
      또 데이터베이스에 문자열이 아니라 비대칭 암호화 방식의 토큰이 저장되어, 누출 시 사용자가 서비스한테서 보상을 받을 수 있게 하면 해결이 쉬울 수도 있음
      하지만 어떤 기업도 이런 식으로 사용자 보호를 진짜로 보장하려 하지 않음
      결국 대부분의 보안 활동은 보여주기식임

    • 모든 보안 연구가 똑같은 건 아니라는 점이 중요함
      많은 사람들이 동의할 만한 상식선의 연구—우연히 취약점을 발견해서 신고한 경우 같은 것—은 확실히 보호되어야 함
      반면, 명확한 허가 없이 진행하는 침투 테스트는 실제로 시스템에 혼란을 줄 수 있음
      모두에게 무차별 허용해버리면 제대로 구축된 시스템에도 방해가 될 수 있음
      암호화 알고리즘처럼 기술적으로 해결 가능한 분야도 있지만, 사이버보안은 여전히 법과 신뢰에 의존하게 됨

  • 이런 끝없는 데이터 유출은 인센티브 구조를 바꾸면 줄일 수 있지만, 현실적으로 어렵다고 봄
    완전히 막을 수 없다는 점을 인지해야 함—사람은 실수하고, 규모가 크면 실수는 더 많아짐
    그렇다고 해서 노력조차 안 하면 안 됨
    대안으로, 개인정보 유출 피해를 줄이는 몇 가지 방법도 병행해야 함
    생년월일, 이름, 주소, 전화번호, 이메일, SSN 같은 정보를 비밀이라고 가정하지 말고, 실제로 ‘신원 도용’에 악용 가능한 각종 루트를 차단해야 함
    나는 신원 도용(identity theft)이라는 용어 자체가 싫음—이건 피해자가 실수한 것처럼 보임
    실상은 기업이 상대방 신원을 대충 확인하고 거래를 해서 문제임
    책임의 무게는 기업에 있어야 함
    예를 들어, 은행이 내 이름으로 대출을 내주면 그 책임은 은행에 있어야지, 나한테 없어야 함
    이 구조만 바뀌면 기업은 신원 확인을 철저히 하게 되고 인센티브도 맞춰짐
    물론 데이터 유출의 문제가 신원 도용만은 아니지만 이 부분만 해도 꽤 해결 가능하다고 봄

    • 내가 identity theft라는 용어를 싫어한다는 데 동감한다면 이 스케치 영상을 추천해주고 싶음
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • ‘인센티브를 바로잡으면 유출이 줄어든다’는 주장과 관련해, 실제로 유출 피해에 대응하는 데 드는 비용이 이걸 근본적으로 막는 비용보다 높은지 의문임
      국가 안보와 연관된 경우를 제외하면, 피해가 대책 마련 비용보다 크다고 단정하기 조금 애매함

    • ‘신원 도용’ 이라는 용어가 꼭 피해자가 잘못했다는 뉘앙스로 들리진 않음
      누군가에게서 무언가를 도둑맞았다고 해서 그 사람이 잘못했다고 하진 않는 법임
      은행 금고에서 내 돈이 도난당해도 내 책임이 아니듯이
      다만 사이버보안의 경우 공격자가 반대편 세상 어딘가에 있을 수 있어 피해자 보호가 어려움
      결국, 피해자는 어디까지나 피해자임

    • 이미 해결책은 있음—MFA(다단계 인증)와 IdP(신원 제공자) 연합임
      하나는 아는 정보(데이터), 다른 하나는 보유 정보 또는 생체정보(지문 등)
      IdP가 양쪽 인증을 진행하고 인증 책임도 분산됨
      운전면허증 예처럼 내가 소유하고 있고, 정부 시스템에서 확인도 가능하긴 함
      문제는 얼굴 인식을 두 번째 인증수단으로 쓰는 곳이 많아 사생활 침해 위험이 큼
      장기적으로 정부가 유일한 IdP로 자리 잡을 수도 있음
      비생체 방식은 규모 확장에 실질적 어려움이 있지만, 지문 등은 실제로 이미 많은 나라에서 관리 중이므로 얼굴 인식보단 낫다고 봄

  • 이런 상황은 경영진이 파산하거나 심지어 과실로 감옥에 가기 전에는 절대, 절대 사라지지 않을 것임
    설령 그렇게 해도 빈도와 심각도만 줄어들 뿐임

    • 고의적 과실이나 악의적 행동이 아니라면, 누군가를 감옥에 보내는 게 답은 아니라고 봄
      보안 사고 대부분은 실수에서 비롯함
      기업에 재정적 타격을 주는 게 억제 효과가 있을 수 있지만, 회사가 망하면 수백~수천명이 한순간 실업자가 될 수도 있음
      그저 방화벽 세팅 실수나 직원이 사회공학 공격에 당한 것만으로도 기업에 엄청난 피해가 생기기 때문임
      차라리 클라우드, SaaS 등 인터넷 연결 시스템은 근본적으로 안전하지 않다는 걸 인정하고, 사용 자체를 대폭 제한하는 방식이 오히려 현실적임
      혹은 이름, SSN, 생일, 주소, 어머니의 성과 같은 정보가 유출되어도 무의미한 사회 구조로 바꾸는 것도 방법임

    • 유한책임을 없애자는 의견임
      주주가 피해자의 피해액 전체를 전재산을 걸고 책임지게 만들자는 것임
      이익을 보기 원하면 당연히 본인의 위험도 전부 부담해야 함

    • GDPR이 도입될 때 경영진이 드디어 해킹 사고에 직접 책임을 진다고 홍보해 사람들이 큰 기대를 했던 게 기억남
      난 그때 그게 헛소리라고 생각했고, 실제로도 그랬음
      법적 책임을 지게 하려면 중대한 과실이 입증되어야 하고, 법정에서는 빠져나갈 구멍이 많음
      임원이 임기 중 한 모든 일에 책임지는 시대 따윈 오지 않을 것임

  • 내 생각엔 고객 정보 한 건 유출당할 때마다 £1,000의 벌금을 무조건 부과하는 제도 필요함
    수백만 명 고객이 있는 기업이면 회사 자체가 끝날 수 있음
    현실은 신경조차 안 쓰고, 언젠가 유출되면 한통의 미지근한 사과 메일만 보내면 끝임
    영국에서 ICO(정보보호국)는 Ofwat(물관리 감시기관)만큼 무의미하고 위험하게 쓸모없는 기관임
    (오타 수정함)

    • 벌금은 고객에게 바로 지급해야 함
      지금은 집단 소송 결과 1년 정도 지나 몇 센트밖에 안 돌아오는 구조인데 고객에게 실질적으로 도움이 안 됨

    • "기업 회생 불가능"해진다는데, 이럴 경우 그 회사 고객들은 어떻게 되는지 질문임
      오히려 피해자에게 또다시 피해가 돌아가는 거 아님?

    • 벌금이 너무 크면 국가 경제 전체가 영향을 받지 않을까 하는 우려임

  • Allianz는 이런 사이버 공격에 대비한 보험을 실제로 제공 중임
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • 보험 자체가 문제의 일부분임
      기업들이 안전한 소프트웨어 개발과 연구·투자를 외면하고 그냥 보험만 드는 게 더 저렴하기 때문임
      이 구조가 유지되면 아무것도 바뀌지 않음

    • 적어도 계약상 필요한 엔드포인트 보호는 제대로 작동했음이 드러나서 다행임

  • Salesforce 개발자들이 제품에 대해 잘 모르는 부분도 원인이고, Salesforce 자체가 보안을 크게 신경 쓰지 않는 것도 문제임
    제대로 설정 안 된 환경에서는 인증 없이 2번 웹 요청만으로 가져올 수 있는 모든 데이터를 확인할 수 있음
    모니터링 시스템도 제대로 없어, Salesforce의 부실한 로그를 바탕으로 외부에서 직접 보안 모니터링 체계를 다 설계해야 했음
    참고할 만한 가이드도 있어서 남김
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    이걸 자동화해서 리컨 수행 끝에 Salesforce 사이트까지 찾을 수 있음
    실제로 나도 해본 경험임

  • "2025년 7월 16일, 악의적 해커가 Allianz Life가 쓰는 서드파티 클라우드 기반 CRM 시스템에 접근함"이라고 기사에 나옴
    도대체 이 '서드파티, 클라우드 CRM'이 대체 뭔지 궁금함

    • Google이 최근 Salesforce에 대해 쓴 글도 참고할 만함
      https://cloud.google.com/blog/topics/…

    • 또 다른 기사에서 Salesforce라고 언급했고, 데이터 소유한 쪽에서 보안을 허술하게 해놓는 경우가 많음
      Salesforce 잘못 설정된 테넌트가 인터넷에 널려 있음

    • 어느 시스템이든 큰 의미는 없지 않나
      기술적 해킹이 아니라 사회공학적 공격(사람을 속이는 방식)이 원인이었음

    • 사용하는 CRM에 따라 HIPAA 위반일 수도 있지 않나 하는 의문임

  • 데이터 보안 관리가 허술해도 대기업에는 실질적 처벌이 거의 없음
    정부는 SSN 바꾸기도 거의 불가능하게 만들었으면서, 여전히 SSN을 신원 확인에 씀
    이로 인해 대부분 사람들이 이미 노출된 상태임

  • 기사에서 언급된 대로 대표적으로 콜센터등을 통한 사회공학 공격 외에도, 기업 정보는 인터넷에 너무 널림
    예를 들어 LinkedIn은 소셜 엔지니어링의 보물창고임
    프로필은 연결 여부와 상관없이 로그인 사용자라면 누구나 볼 수 있으니, 더 많은 기업들이 직원 프로필을 적극적으로 점검하지 않는 게 이상해 보임

  • 고객에게는 큰 불편이고 회사엔 타격인데, 어느 시점이 되면 이건 '공유지의 비극' 같은 사회적 시스템 실패로 봐야 하지 않을지 고민됨
    법적으로, 은행이 인증에 도용 위험이 높은 공개 정보(SSN이나 어머니의 성 등)만 쓰는 경우 실제 사고가 나면 은행이 책임져야 옳지 않겠나 싶음

답변달기