ShinyHunters, Addi.com 공격: 1,600만 건의 금융 기록 탈취
랜섬웨어 그룹 ShinyHunters가 콜롬비아 금융 서비스 기업 Adelante Soluciones Financieras로 운영 중인 Addi.com에 대한 사이버 공격의 책임을 주장했습니다. 해당 그룹의 발표에 따르면, 민감한 개인 정보, 신용카드 거래 내역, 그리고 TransUnion 및 Experian을 포함한 주요 신용조회기관에서 수집한 고객신원확인(KYC) 데이터 등 1,600만 건 이상의 기록이 유출되었습니다. 탈취된 데이터의 총 용량은 518GB에 달하는 것으로 알려졌습니다.
이번 침해 사고는 동일 그룹의 지속적인 공격 패턴을 따르고 있습니다. ShinyHunters는 최근 몇 달 사이 여러 건의 주목할 만한 사건을 주도해왔으며, 여기에는 네덜란드 통신사 Odido에서 2,100만 건의 기록을 탈취했다는 주장과 홈 보안 기업 Alert 360에서 250만 건의 기록을 노출시킨 침해 사고가 포함됩니다. 이 그룹은 공격의 빈도와 규모 모두를 빠르게 확대하고 있는 것으로 보입니다.
이번 침해 사고가 특히 심각한 이유
대부분의 데이터 침해 사고는 한두 가지 범주의 개인 정보를 포함합니다. Addi.com 사건은 단일 데이터셋 안에 여러 겹의 고도로 민감한 정보가 결합되어 있다는 점에서 다릅니다.
KYC 데이터는 사이버 범죄자들에게 특히 가치가 높습니다. 금융 기관은 고객 신원을 확인하기 위해 이 정보를 수집하며, 이는 일반적으로 정부 발급 신분증 번호, 주소 증빙, 고용 정보, 그리고 경우에 따라 생체 인식 정보까지 포함합니다. 이 데이터가 TransUnion이나 Experian 같은 신용조회기관의 기록과 결합될 경우, 공격자는 피해자 한 명 한 명의 완전한 금융 프로필을 손에 쥐게 됩니다.
신용조회기관 데이터에는 신용 점수, 대출 이력, 미상환 부채, 그리고 수년에 걸친 납부 행태가 포함될 수 있습니다. 이것이 거래 단위의 신용카드 데이터와 결합되면, 범죄자들은 사기 계정 개설, 피해자 명의의 대출 신청, 또는 특정 금융 취약점을 노린 정교한 피싱 시도에 필요한 모든 정보를 갖추게 됩니다.
콜롬비아 및 Addi.com이 운영되는 기타 시장의 이용자들에게는 신원 도용 및 금융 계정 탈취의 위험이 당분간 높아진 상태입니다.
VPN만으로는 이러한 유형의 노출로부터 보호받을 수 없는 이유
VPN을 사용하면 데이터 침해로부터 보호받을 수 있다는 것은 흔한 오해입니다. 그렇지 않습니다. VPN은 전송 중인 인터넷 트래픽을 보호하여 IP 주소를 숨기고 기기와 서버 사이에서 이동하는 데이터를 암호화합니다. 그러나 사용자가 이미 정보를 공유한 이후 기업 내부 데이터베이스에서 발생하는 일에는 아무런 영향을 미치지 않습니다.
Addi.com 침해 사고는 대부분의 주요 금융 데이터 사건들과 마찬가지로 전송 과정이 아닌 서버 수준에서 발생했습니다. 기업이 이미 KYC 문서, 신용 이력, 거래 기록을 보유하고 있다면, 개인 VPN 설정은 해당 데이터의 보안 유지 여부와 아무런 관련이 없습니다.
그렇다고 VPN이 중요하지 않다는 뜻은 아닙니다. 연결을 암호화하는 것은 여전히 의미 있는 조치이며, 특히 가로채기를 통한 자격 증명 도용이 실제 위협이 되는 공공 네트워크에서는 더욱 그렇습니다. 그러나 이번과 같은 침해 사고는 개인 정보 보호에 단일 도구가 아닌 다층적 접근이 필요하다는 점을 다시 한번 강조합니다.
여러분이 취해야 할 조치
Addi.com이나 Adelante Soluciones Financieras와 데이터를 공유하는 서비스를 이용한 적이 있다면, 회사의 공식 확인이 나오기 전이라도 개인 정보가 이미 유통되고 있을 수 있다는 전제 하에 행동해야 합니다.
지금 당장 취할 수 있는 구체적인 조치들은 다음과 같습니다:
- 신용 보고서를 모니터링하세요. 많은 국가에서 신용조회기관에 무료 보고서를 요청할 수 있습니다. 본인이 신청하지 않은 계정이나 조회 내역이 있는지 확인하세요. 이번 침해에 신용조회기관 데이터가 포함되어 있다면, 사기성 신용 신청이 단기적으로 현실적인 위협이 됩니다.
- 해당 국가에서 가능하다면 신용 동결을 신청하세요. 동결 조치는 누군가가 본인의 모든 개인 정보를 보유하고 있더라도 본인의 직접적인 개입 없이는 새로운 신용이 개설되는 것을 막아줍니다.
- 모든 금융 계정의 비밀번호를 변경하세요. 여러 서비스에 동일한 자격 증명을 사용했다면 즉시 변경하세요. 비밀번호 관리자를 사용하여 각 계정마다 고유한 비밀번호를 생성하고 저장하세요.
- 다단계 인증(MFA)을 활성화하세요. 뱅킹 앱, 이메일, 금융 활동과 연결된 모든 계정에서 MFA는 탈취된 자격 증명만으로는 우회할 수 없는 장벽을 추가합니다.
- 표적형 피싱을 주의하세요. 상세한 금융 프로필을 손에 넣은 공격자들은 실제 대출 이력이나 계정 세부 정보를 언급하는 설득력 있는 이메일이나 전화를 만들어낼 수 있습니다. 금융 정보 확인을 요청하는 모든 불청객 연락에 의심을 품으세요.
- 침해 모니터링 서비스를 이용하세요. 여러 신뢰할 수 있는 서비스들이 새로 유출된 데이터셋에 이메일 또는 자격 증명이 등장할 경우 알림을 보내줍니다. 알림을 설정해두면 회사의 공식 통보를 기다리는 것보다 더 빨리 경고를 받을 수 있습니다.
ShinyHunters 그룹은 수백만 보안 고객의 기록을 노출시킨 ADT 공격에서 보듯이, 어떤 분야도 예외가 없으며 협상이 데이터 공개나 판매를 확실히 막아주지는 않는다는 것을 반복적으로 증명해왔습니다.
Addi.com 침해 사고는 금융 신원 보호가 일회성 설정이 아닌 지속적인 주의를 필요로 한다는 것을 상기시켜줍니다. VPN, 비밀번호 관리자, 침해 모니터링, 신용 동결 같은 도구들을 함께 활용하면, 개인 데이터를 보유한 기업이 실패하더라도 의미 있는 회복력을 제공받을 수 있습니다. 피해가 발생한 지 몇 주 후에 도착할 수 있는 공식 통보를 기다리기보다 지금 바로 본인의 노출 현황을 검토하세요.
