온라인 경매 사이트 이베이의 1억4500만 사용자 데이터베이스가 털렸다.
22일 비즈니스위크는 이베이가 사이트 공지사항을 통해 이 같은 사실을 알리고 회원 1억4500만명 전원에게 암호를 바꾸도록 요청했다고 보도했다. 이번 유출 건은 7000만건의 개인정보가 유출됐던 유통업체 타깃 사건의 두 배 가까이 큰 규모라는 점에서 대대적인 피해가 예상되고 있다. 이베이는 이번 유출로 이베이 회원의 명의를 도용한 거래가 이뤄진 징후는 나타나지 않았다고 밝혔다. 이베이는 신용카드 정보나 금융정보는 암호화된 형태로 별도 보관된다고 설명했다. 하지만 페이팔 계정과 연결돼 있는 이베이 특성상 비번이 일치하거나 하는 경우에 대규모 금융 피해 가능성도 충분하다는 설명이다. 이베이에 따르면 해커들이 이베이 본사 서버를 공격해 일부 임직원의 업무용 아이디와 패스워드를 탈취했으며, 이에 따라 이베이 회사 전산망에 권한 없이 접근할 수 있었던 것으로 알려졌다. 이 회사는 수사 당국과 보안전문가와 함께 사건을 조사중이다. 해킹이 발생한 시기는 올해 2월 말과 3월 초이며 해킹된 정보는 고객 이름, 암호화된 패스워드, 이메일 주소, 실제 주소, 전화번호, 생년월일이었다. 데이터베이스에는 금융 관련 정보나 다른 비밀 개인정보는 포함돼 있지 않았다.
가디언은 이베이가 아직 해킹 배후 세력을 정확히 파악하지 못했지만 이들이 이베이를 겨냥한 것만은 분명하다고 전했다. 이 매체는 “금융 피해를 내기 위해 사용자 데이터베이스를 노렸으며 익명의 핵티비스트(해킹을 도구삼아 투쟁하는 행동주의자) 그룹으로 보인다”고 밝혔다.
보안 전문가들은 “이번 유출 사태는 이베이만의 시스템 결함이 아니기 때문에 다른 사이트에 동일한 비밀번호를 사용하고 있다면 바꾸는 것이 좋다”고 조언했다.이번 해킹이 최근 오픈 SSL(Secure Sockets Layer) 취약점인 ‘하트블리드’ 버그와 관련된 것인지는 아직 조사 중이며, 이베이 측은 일부 직원들의 로그인 과정에서 해킹이 발생한 것으로 추측하고 있다. 가디언은 지난해 유통업체 타깃의 데이터 유출 사건처럼 해킹 이후 사용자에게 일어날 가장 큰 피해는 ‘피싱 이메일’이라고 진단했다. 메일 발송자가 이베이인 것처럼 가장해 사용자의 개인정보를 추가로 유출시킬 수 있다는 것이다.
한편 2월 말에 일어난 개인정보 유출 건을 3개월이 지난 뒤 알아차린 사실도 미심쩍다는 반응이다. 이베이는 임직원의 업무용 아이디와 비밀번호가 탈취된 사실을 2주 전에 알게 됐고, 이에 따라 조사를 벌여 해커들이 이베이 회원 데이터베이스에 접근한 사실을 파악했다고 전했다.
정미나기자 mina@etnews.com
