Multi-License Discount Quote
Computer Security 29억 건의 기록에 대한 데이터 침해 혐의가 미디어의 히스테리를 촉발하고 국가 공공 데이터에 대한 법적...

29억 건의 기록에 대한 데이터 침해 혐의가 미디어의 히스테리를 촉발하고 국가 공공 데이터에 대한 법적 조치를 취하다

Computer Security년에 Mura 년까지
번역 :
한국어

최근 National Public Data(NPD)라는 저명한 백그라운드 체크 서비스와 관련된 대규모 데이터 침해에 대한 소문이 언론을 들끓게 했고 여러 소송을 촉발했습니다. 널리 알려졌음에도 불구하고, 주장된 침해의 진실은 여전히 불확실하며, 주장을 입증할 구체적인 증거는 거의 없습니다.

불길을 일으킨 트윗

잠재적 침해에 대한 첫 번째 소문은 2024년 4월 8일에 나타났습니다. HackManac이라는 사용자가 X(이전 Twitter)에 NPD 데이터베이스에서 29억 개의 기록이 유출되었다고 주장하며 게시했습니다. 게시물에 따르면 미국, 캐나다, 영국 시민의 기록이 포함된 이 데이터는 USDoD라는 위협 행위자가 350만 달러에 판매를 제안했습니다. 주장의 심각성에도 불구하고 이 게시물은 주류 미디어에서 대체로 무시되었고 NPD는 응답을 하지 않았습니다.

이 최초 게시물에 이어 2024년 6월 2일에 유명한 사이버 보안 커뮤니티인 vx-underground에서 또 다른 게시물이 올라왔습니다. 그들은 데이터 샘플을 검토하고 진위 여부를 확인했다고 주장했습니다. 다시 한번 미디어와 NPD는 침묵을 지켰습니다.

집단 소송이 시작되면서 발생하는 법적 문제

상황은 2024년 8월 1일 크리스토퍼 호프만이 NPD를 상대로 집단 소송을 제기하면서 극적으로 전환되었습니다. 호프만은 자신의 개인 식별 정보(PII)가 침해로 인해 손상되었다고 주장하며, 신원 도용 보호 서비스에서 보낸 통지를 인용했습니다. 이 소송은 피해자로 추정되는 사람들이 제기한 다른 세 건과 함께 아직 유출된 데이터를 NPD와 직접 연결하는 구체적인 증거를 제공하지 못했습니다.

vx-underground 게시물을 주요 증거로 사용한 호프만 소송은 불일치로 가득 차 있습니다. 예를 들어, 처음에는 침해를 USDoD에 기인했지만 나중에 수정하여 SXUL이라는 다른 위협 행위자가 책임이 있을 수 있음을 나타냈습니다. 게다가 소송은 기록 수를 29억 개에서 "수십억 명"으로 부풀렸는데, 이는 미국, 캐나다, 영국의 인구를 합친 것보다 훨씬 많은 수치입니다.

낚시 탐험이 가능할까?

전문가들은 이 소송이 NPD의 유책성을 입증하는 것보다는 회사가 무죄임을 입증하도록 강요하는 것에 더 가까울 것이라고 제안합니다. 미국에서 법원은 피고에게 자신에 대한 주장을 증명하거나 반증할 수 있는 정보를 공개하도록 요구할 수 있습니다. 종종 "낚시 탐험"이라고 불리는 이 전략은 호프만의 법률 팀의 주요 목표일 수 있습니다.

ImmuniWeb의 CEO이자 법률 전문가인 일리아 콜로첸코는 이러한 전술이 유럽보다 미국에서 더 흔하다고 언급했습니다. 유럽에서는 입증 책임이 일반적으로 원고에게 있습니다. 법원이 NPD에 주장된 침해에 대한 정보를 공개하도록 강요하면 회사에 상당한 결과가 초래될 수 있습니다.

더 큰 그림과 지금까지 우리가 알고 있는 것

법적 조치와 미디어의 광란에도 불구하고 NPD가 침해당했다는 확실한 증거는 아직 없습니다. 유통되는 데이터는 NPD에서 유출된 것이 아니라 다른 출처에서 유래되었거나 공개 기록에서 수집되었을 수 있습니다. 유출된 데이터 샘플을 검토한 Bleeping Computer와 같은 평판 있는 출처조차도 정보가 NPD에서 나왔다는 것을 확인할 수 없었습니다.

게다가, 주장된 침해는 도난당한 것으로 보고된 엄청난 양의 데이터에 대한 의문을 제기합니다. 전문가들은 특히 NPD가 처리하는 정보의 민감한 특성을 감안할 때, 탐지되지 않고 29억 개의 기록을 빼내는 것이 실현 가능한지에 대해 회의적 입장을 표명했습니다.

불확실한 미래: 진실을 기다리며

지금까지 NPD는 주장된 침해에 대해 언급하지 않았으며 미국, 영국 또는 캐나다의 규제 기관에 공식적인 공개를 하지 않았습니다. 침해의 진실은 법원이 NPD에 공식적인 대응을 요구할 경우에만 밝혀질 수 있습니다.

그동안 이러한 주장은 광범위한 우려와 추측을 불러일으켰습니다. 이러한 주장이 입증될지 또는 거짓으로 증명될지는 아직 알 수 없지만, 이 상황은 오늘날의 디지털 시대에 데이터 침해와 관련된 잠재적 위험을 상기시켜줍니다.

더 많은 정보를 기다리는 동안 상황에 신중하게 접근하는 것이 중요합니다. NPD에서 침해가 발생할 가능성을 배제할 수는 없지만, 구체적인 증거가 부족하다는 것은 헤드라인에서 암시하는 것보다 진실이 더 복잡할 수 있음을 의미합니다.

로드 중...