잭스 투자 리서치(Zacks Investment Research) 데이터 유출 사고

Zacks Investment Data Breach Exposes 12 Million Emails and Phone Numbers

Zacks Investment Data Breach Exposes 12 Million Emails and Phone Numbers

 

• 개요
  • 잭스 투자 리서치에서 1,200만 명의 사용자 데이터가 유출됨
  • 2022년 이후 두 번째 주요 데이터 침해 사고로, 금융 서비스 기업의 보안 취약점이 다시 드러남
  • 유출된 정보에는 이메일, 전화번호, 이름, IP 주소, 물리적 주소, 취약한 암호 해시 등이 포함됨
• 침해된 데이터 및 보안 이슈
  • 해커들은 SHA-256 해시된 비밀번호를 탈취했으나, 솔트(Salt) 처리가 되지 않아 쉽게 크랙 가능
  • 솔트 처리가 없는 해시는 무작위 대입 공격(Brute-force attack) 및 레인보우 테이블(Rainbow Table) 공격에 취약
  • IP 주소 및 물리적 주소 유출로 피싱 공격 및 물리적 보안 위협 가능성 증가
  • 기존 유출 정보와 중복(93%)되는 계정이 많아, 기존 데이터 유출로 인해 암호를 변경하지 않은 사용자들이 위험에 노출됨
• 잭스의 대응 및 반복된 보안 이슈
  • 현재까지 공식적인 보안 침해 공지 없음
  • 2022년에도 82만 개의 계정이 해킹되었으나, 같은 유형의 보안 취약점이 반복됨
  • 여전히 보안이 취약한 해시 알고리즘 사용 → 금융 기관의 기본 보안 정책 부재에 대한 비판 증가
  • 보안 전문가 존 옵덴네커(John Opdenakker)는 “2024년에 금융 기관이 솔트되지 않은 해시를 사용하는 것은 보안 기본 원칙의 실패”라고 지적
• 피해 사용자에 대한 위험
  • 자격 증명 대입 공격(Credential Stuffing)
    • 동일한 이메일/비밀번호 조합을 다른 금융 서비스나 투자 플랫폼에서 무차별 대입하는 공격 기법
  • 피싱 및 협박 사기(Sextortion Scams)
    • 유출된 전화번호 및 물리적 주소를 이용한 맞춤형 협박 공격 증가 가능
  • 신원 도용(Identity Theft)
    • 금융 기관의 고객 신원 확인(KYC, Know Your Customer) 절차를 우회하여 불법 계좌 개설 및 금융 사기 가능성 증가
• 법적 및 규제 영향
  • 연방거래위원회(FTC) ‘보호 규정(Safeguards Rule)’에 따른 조사 가능성
  • 각 규정 위반 시 최대 50,120달러의 벌금 부과 가능
  • 금융 산업 내 사이버 보안 강화 필요성 재확인
• 결론
  • 잭스 투자 리서치는 안전한 암호 저장 방식(Bcrypt, Argon2 등)을 적용해야 함
  • 유출된 사용자는 즉시 모든 계정에서 암호 변경 필요
  • 이중 인증(MFA) 활성화 및 비밀번호 관리자 활용 권장
  • 보안 모니터링 및 실시간 침해 탐지 솔루션 도입이 필수적
  • 기업들은 사이버 보안 투자를 확대하고 보안 정책을 철저히 강화해야 함