대형 보험회사 정보가 유출된 것으로 드러나 가입자들의 피해 가능성이 우려되고 있다.
IT 업계 정보 소식지 Tom’s Guide가 보험회사 Global Life의 Data 유출 소식을 전했다.
Global Life가 지난해(2024년) 중순 고객 Data에 대한 온라인 공격을 받아서 상당한 정도의 고객 정보 Data가 유출됐다는 것이다.
Tom’s Guide 보도에 따르면 지난해 6월에 온라인에서 Global Life가 보유한 고객 Data에 대한 공격으로 성명과 생년월일, 사회보장번호(Social Security Number) 등 고객들의 주요 정보가 외부로 빠져나갔다.
이와 관련해 Global Life 측은 자체 조사를 실시해 최소한 5,000여명의 고객들 정보가 유출됐다고 밝혔다.
하지만 피해 고객 숫자에 대한 의혹이 제기됐고 Global Life 측은 최근 들어서 추가 조사를 마쳤다면서 정보가 유출된 고객 숫자가 85만여 명에 달한다고 인정했다.
크리스토퍼 무어 Global Life 법률 고문은 이같은 추가 조사 내용에 대한 보고를 받고나서 즉각 웹사이트에 대한 외부 접근을 차단했다.
그런데 고객 Data가 공격받은 것이 6월이었는 데 Global Life 측이 첫 조사에 나선 것은 10월이었던 것으로 드러났다.
그래서 고객 Data가 공격을 받아서 유출된 것에 대해서 Global Life 측이 너무나 안일하게 대응한 것 아니냐는 지적이 나오고 있다.
Global Life 측의 지난 10월 조사를 통해서 자회사인 American Income Life Insurance Company에서 고객 5,000여명 정보가 새어나가는 소규모 침해가 발견됐다고 발표했다.
그러자 즉각 유출된 숫자가 너무 적은 것으로 보인다면서 피해 고객 숫자가 늘어날 가능성이 있다는 사실이 바로 지적됐다.
당시 SEC(증권거래위원회)에 제출한 새로운 서류를 통해서 정체가 알려지지 않은 어떤 위협 행위자가 저지른 일로 파악됐는 데 소수의 독립 기관 소유자가 관리하는 특정한 Database에서 고객 정보에 접근해 유출시킬 수 있었던 것으로 나타났다.
이 SEC에 제출된 서류에 따르면 Globe Life는 초기 5,000명보다 더 많은 정보가 도난당했는지 여부를 정확하게 확인할 수 없지만, 주의를 기울이고 있다고 설명했다.
해당 Global Database에 정보가 저장돼 있어 잠재적으로 영향을 받는 모든 보험 계약자들에게 Global Life 측은 신용 모니터링 서비스를 제공하고 있다.
Database 공격자는 성명과 생년월일, 사회보장번호 외에도 이메일 주소, 전화번호, 우편주소, 건강 Data, 보험 정책 정보 등 광범위한 민감한 정보에 Access할 수 있었던 것으로 확인됐다.
SEC에 제출된 서류에 따르면, 이 알려지지 않은 공격자는 Data를 유출시켜 확보한 후 Global Life를 협박한 것으로 나타났는 데, Global Life 측이 공격자에게 거액의 대가를 지불하기를 거부했다.
Global Life는 이번 공격이 충격적이기는 하지만 Data 암호화나 IT 시스템 등과는 관련이 없다고 주장했다.
