영국에 본사를 두고 국제 결제 및 환전을 주요 사업으로 하고 있는 외환 회사(Travelex)가 해커의 사이버 공격으로 인해 회사 전체의 시스템이 다운되어 종이와 펜의 사용을 강요받고 있다.

[그림 출처: Travelex web]

새해 전날 인 12월 31일, 해커는 Travelex의 네트워크를 공격하기 시작했다.

결과, 30개 국가의 웹사이트가 다운되고 바이러스 설치 및 데이터 암호화가 이루어졌다.

“Sodinokibi” 라고 불리는 랜섬웨어 조직은 BBC가 이 해킹의 배후에 있으며  6백만 달러를 요구한다고 말했다.

“REvil”으로도 알려진 이 조직은 6개월 전 Travelex사의 네트워크에 접근했으며 5GB의 고객 데이터(생년월일, 신용 카드 정보 및 국민 보험 번호)를 탈취했다고 주장한다.

해커들은 "지불할 경우, 데이터베이스를 삭제하고 네트워크 전체를 복원 할 것"이라고 말했다.

경찰 조사

ICO (Information Commissioner 's Office)는 Travelex로부터 사고 보고를 받지 못했다고 밝혔다.

조직은 개인의 권리와 자유에 위험을 초래하지 않는 한, 개인 데이터 침해에 대해 인지 후 72 시간 이내에 ICO에 보고해야한다.

조직이 보고 할 필요가 없다고 결정한 경우 자체 기록을 유지하고 필요한 경우 보고되지 않은 이유를 설명 할 수 있어야한다.

일반 데이터 보호 규정 (General Data Protection Regulation)에 따르면, 규정을 준수하지 않은 회사는 전 세계 매출의 최대 4 %의 벌금에 처할 수 있다.

Travelex는 경찰과 협력하고 있으며 IT 전문가 및 외부 사이버 보안 전문가 팀을 배치했다고 밝혔다.

현재 상황

복구 작업은 영국의 Travelex 사무실에서 조율되고 있으며 회사는 고객 데이터가 유출되지 않았다고 주장한다. 그러나 어떤 데이터가 잠재적 위험에 처할 수 있는 지에대한 언급도 없다.

유럽, 아시아, 미국 전역의 Travelex 웹사이트들은 12월 31일부터 오프라인 상태였으며 방문객들에게 "서비스 점검"를 위해 다운되었다는 공지만 전달하고 있다.(2020.01.08 기준, 현재는 침해사고에대한 공지로 변경)

[그림 출처: BBC News]

고객들은 사이버 공격에 대한 어떠한 소식도 받지 못했으며 Travelex 웹사이트는 문제가 발생한 지 1주일 후에도 “서비스 점검”이라고만 공지 했다.

버진 머니 사이트, 세인즈베리 은행 등 Travelex의 외환 서비스에 의존하던 사이트들 또한 서비스 점검으로만 공지하였다.

관련 법률

정보통신 서비스 제공자 및 집적 정보 통신 사업자는 해킹, 악성코드, DDoS 등 사이버 공격으로 인한 침해사고 발생 시 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의거하여 인지한 즉시 신고하여야 한다.

정보통신망 이용촉진 및 정보보 등에 관한 법률 제48조의3(침해사고의 신고 등)

침해사고가 발생한 사실을 알고도 미래창조과학부나 한국인터넷진흥원에 신고하지 않을 경우, 정보통신망법 위반으로 1천만원 이하의 과태료가 부과된다.

정보통신망 이용촉진 및 정보보 등에 관한 법률 제76조(과태료) 제3항

정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.

정보통신망 이용촉진 및 정보보 등에 관한 법률 제27조의3(개인정보 유출등의 통지 ㆍ신고) 제1항

제27조의3제1항을 위반하여 이용자ㆍ방송통신위원회 및 한국인터넷진흥원에 통지 또는 신고하지 아니하거나 정당한 사유 없이 24시간을 경과하여 통지 또는 신고한 자에게는 3천만원 이하의 과태료를 부과한다. 

정보통신망 이용촉진 및 정보보 등에 관한 법률 제76조(과태료) 제1항 제2호