美 DISA, 해킹으로 330만 명 개인정보 유출... SSN·금융정보 포함

미국 기업 직원 조사 서비스 제공업체인 DISA 글로벌 솔루션스가 대규모 데이터 유출 사고를 인정했다. 이번 해킹으로 인해 330만 명이 넘는 개인 정보가 유출된 것으로 조사됐다.

DISA는 기업을 대상으로 약물·알코올 검사 및 배경 조사를 실시하는 업체로, 포춘 500대 기업 중 약 3분의 1이 이 회사의 서비스를 이용하고 있다. DISA는 미국 메인주 법무장관실에 제출한 자료에서 지난 4월 22일 자사 네트워크의 일부가 '사이버 공격'을 받았다는 사실을 확인했다고 발표했다. 내부 조사 결과, 해커는 이미 2월 9일부터 시스템에 침투해 있었으며, 두 달이 넘는 기간 동안 감지되지 않은 채 활동한 것으로 드러났다.

해킹 피해자인 지원자들에게 발송된 통지문에 따르면, 공격자는 시스템에서 일부 정보를 빼돌린 것으로 밝혀졌다. DISA가 매사추세츠 법무장관실에 제출한 별도의 보고서에서는 유출된 데이터에 사회보장번호(SSN), 금융 계좌 정보, 신용카드 번호, 정부 발급 신분증 등이 포함돼 있었다는 점이 명시됐다. 특히, 매사추세츠주에서는 36만여 명 이상이 피해를 본 것으로 확인됐다.

다만 DISA는 고객들에게 발송한 데이터 유출 공지에서 "어떤 정보가 유출됐는지 명확히 파악할 수 없다"고 밝혔다. 이는 회사가 로그 기록 등 기술적으로 데이터를 추적할 수 있는 수단을 보유하지 않고 있음을 시사하는 대목이다.

DISA의 공식 웹사이트에 따르면, 이 회사는 지원자의 직장 이력, 학력, 범죄 기록, 신용 정보 등 광범위한 개인 및 민감 데이터를 수집한다. 하지만 이번 보안 침해 사건이 발생한 이후에도 현재까지 누구의 소행인지는 밝혀지지 않았으며, 해커가 어떤 방식으로 네트워크에 침투했는지도 확인되지 않았다. 또한 피해 사실을 고객들에게 통보하는 데 지나치게 오랜 시간이 걸렸다는 점에 대한 의문도 제기되고 있다.

이번 사건과 관련해 DISA 측은 추가 질문에 즉각적으로 응답하지 않았다.