의문의 데이터 브로커 데이터 유출 사건

4월 이후, 훔친 데이터를 판매한 경력을 가진 해커가 미국의 데이터 브로커로부터 약 30억 개의 레코드가 유출된 것을 주장하며 최소 3억 명의 사람들에 영향을 끼쳤다 — 이는 올해 최대의 의문의 데이터 유출 사건 중 하나가 될 것이다.

TechCrunch에서 확인한 데이터는 부분적으로 진정해 보이지만 완벽하지는 않다. 알려진 사이버 범죄 포럼에 광고된 훔친 데이터는 수십 년 전으로 거슬러 올라갈 수 있다고 주장되며, 미국 시민들의 전체 이름, 집 주소 기록 및 소셜 보안 번호를 포함하고 있다 — 이러한 데이터들은 데이터 브로커들이 판매하는 것으로 널리 알려져 있다.

그러나 주장된 데이터 도난의 출처를 확인하는 것은 불분명하다; 이것이 데이터 브로커 산업의 본질이며, 개인들의 개인 데이터를 질적 제어 없이 다양한 출처에서 수집하는 산업이기 때문이다.

해커가 언급한 데이터 브로커는 National Public Data로, 자신을 “인터넷에서 가장 큰 공개 정보 제공업체 중 하나”로 소개하고 있다.

공식 웹사이트에서 National Public Data는 다음과 같은 데이터베이스에 접근 권한을 판매한다고 주장했다: 소셜 보안 번호, 이름과 생년월일, 주소 또는 전화번호로 검색할 수 있는 "People Finder", 2억 5천만 명을 초과하는 미국 소비자 데이터를 포함하는 데이터베이스, 1억 명의 미국 시민에 대한 유권자 등록 데이터를 포함하는 데이터베이스, 형량 기록 데이터베이스 등이다.

악성 코드 연구 그룹 vx-underground은 X(이전 트위터)에서 전체 훔친 데이터베이스를 검토했으며, “데이터가 실제이며 정확하다는 것을 확인할 수 있다”고 밝혔다.

그룹은 “우리는 데이터 조회에 동의한 여러 사람을 검색했는데, 이들의 정보를 찾을 수 있었다,”라고 썼으며, 이름, 30년 이상 거슬러 올라가는 주소 기록 및 소셜 보안 번호를 포함한 그들의 정보를 찾을 수 있었다고 덧붙였다.

Sur oundvx-underground는 “또한 그들의 부모, 가장 가까운 형제 및 자매를 찾을 수 있었다.… 누군가의 부모, 돌아가신 친척, 삼촌, 이모, 사촌을 식별할 수 있었다,”고 썼다.

TechCrunch도 데이터의 신뢰성을 확인하기 위해 노력했지만, 결과는 복합적이었다.

표본으로 500만 개의 레코드를 조사한 결과, 상응하는 공개 기록과 일치하는 이름과 주소가 많았지만, 전체 개인의 데이터와 관련이 없는 이름이 포함된 이메일 주소 같은 이상한 데이터도 있었다. 일부 레코드에는 전 미국 대통령의 개인 데이터를 포함한 정보도 있었다.

TechCrunch는 데이터를 판매하는 해커 USDoD에게 동의한 여덟 명의 사람들의 이름을 제공하여 실제로 유효한 데이터를 가지고 있는지 확인하려 했다. 그러나 해커는 여덟 명의 사람에 대한 어떠한 데이터도 제공하지 않았다.

TechCrunch는 샘플에 포함된 번호와 이메일을 가진 100명에게 연락을 시도했다. 그 중 단 한 명만이 응답하여 그의 일부 훔친 데이터가 올바르다는 것을 확인했지만 모두가 그렇지는 않았다.

데이터 도난의 주장된 출처에 직접 가서라도 많은 것을 해결할 수는 없었다.

회사에 여러 차례 연락을 시도했지만, National Public Data는 응답하지 않았고, 회장인 Salvatore Verini도 반응하지 않았다. 지난 주 TechCrunch가 처음으로 National Public Data에 연락을 취한 후, 회사는 웹사이트 페이지를 제거하여 접근할 수 있는 데이터베이스의 세부 정보를 포함하지 않게 되었다.

특히 해킹 포럼에서 광고되는 해커들이 주장하는 모든 데이터 유출이 실제로 발생하는 것은 아니다. 그래서 TechCrunch와 다른 사이버 보안 기자들은 종종 데이터 유출을 확인하려는 상당한 시간을 투자하는데, 이러한 노력은 때로는 명확하지 않은 결과로 끝나기도 한다.

하지만 이 데이터 브로커의 주장된 데이터 유출은 일탈하다고 보이며, 일부 데이터가 진짜이고 이미 검증된 것이 있는 이유도 여기에 있다.

개인 데이터의 증식 및 임의의 존재로 인해 데이터 브로커 산업에서 데이터 유출의 원천을 식별하는 것이 더 어려워졌다. 이 특정 데이터 유출이 여전히 해결되지 않더라도, 이는 다시 한 번 데이터 브로커 산업이 통제를 벗어나고 일반 사람들에게 실제 개인 정보 문제를 야기하고 있음을 보여주는 것이다.

우리는 이 데이터 유출의 신비를 결정적으로 해결할 수는 없었지만, 검증 노력을 자세히 설명하는 데 충분한 자료가 있었다. 분명한 한 가지는 있다. 데이터 브로커들이 개인 정보를 수집하는 한, 데이터가 노출될 위험이 남아 있다.