1천건 데이터 유출 분석, 공개 지연 문제 심화
원제: 1k Data Breaches Later, the Disclosure Lag Is Worse
왜 중요한가
데이터 유출 공개 지연이 심화되면서 개인정보보호 규정의 실효성과 사용자 보호 체계에 대한 재검토가 필요한 시점
보안 전문가 Troy Hunt가 Have I Been Pwned에 1천번째 데이터 유출 사건을 등록하며 공개 지연 문제가 악화되고 있다고 분석했다. Carnival 크루즈 회사는 ShinyHunters 공격으로 870만 건 데이터가 유출되었지만 사건 인지 후 43일 만에 공개했다.
보안 전문가 Troy Hunt는 데이터 유출 추적 사이트 Have I Been Pwned에 1천번째 데이터 유출 사건을 등록하며, GDPR과 CCPA 같은 개인정보보호 규정이 강화됐음에도 불구하고 유출 공개 지연 문제가 더욱 심각해졌다고 지적했다. 대표 사례로 Carnival 크루즈 회사의 경우, 4월 19일 ShinyHunters 랜섬웨어 그룹의 공격을 받아 870만 건의 고객 데이터가 유출됐다. 이 데이터에는 이름, 이메일 주소, 생년월일, 성별, 위치 정보, 로열티 프로그램 세부사항이 포함됐다. 4월 24일 해당 데이터가 다크웹과 공개 웹사이트에 게시되며 공개적으로 확산됐지만, Carnival은 43일이 지난 5월 27일에야 공식 발표했다. 6주 이상 동안 피해자들은 자신들의 정보 유출 사실을 전혀 모르는 상태였다. Hunt는 기업들이 "데이터 영향 범위를 완전히 분석하기 위해 시간이 필요하다"고 주장하지만, 초기 알림은 이메일 주소 추출만으로도 쉽게 가능하다고 반박했다.