클레오 취약점 악용한 허츠 개인정보 유출 사건 분석

렌터카 기업 허츠, 클레오 취약점 악용한 해킹으로 고객 개인정보 유출 - 데일리시큐

렌터카 기업 허츠, 클레오 취약점 악용한 해킹으로 고객 개인정보 유출 - 데일리시큐

 

Hertz data breach caused by CL0P ransomware attack on vendor

Hertz data breach caused by CL0P ransomware attack on vendor

 

Hertz Data Breach Exposes Customer Personal Information to Hackers

Hertz Data Breach Exposes Customer Personal Information to Hackers

 

• 개요
  • 글로벌 렌터카 기업 허츠(Hertz)가 서드파티 소프트웨어 클레오(Cleo)의 제로데이 취약점 악용으로 인해 대규모 개인정보 유출 사고를 겪음
  • 클레오의 파일 전송 플랫폼(MFT)을 악용한 공격은 랜섬웨어 그룹 클롭(Clop)의 소행으로 확인됨
  • 유출된 정보는 이름, 생년월일, 연락처, 운전면허번호, 결제정보뿐 아니라 일부 고객의 경우 여권 및 사회보장번호 등 민감한 정보 포함
• 주요 공격 경로 및 취약점 분석
  • 공격자는 클레오 제품인 하모니(Harmony), VLTrader, LexiCom의 제로데이 취약점(CVE-2024-50623, CVE-2024-55956)을 악용
    • CVE-2024-50623: 불완전한 초기 보안 패치로 인한 반복 악용
    • CVE-2024-55956: 인증 없이 셸 명령 실행 가능, 시스템 권한 탈취 우려
  • 제로데이 공격은 2024년 10월과 12월 두 차례에 걸쳐 발생
• 피해 범위 및 노출 정보
  • 미국, 유럽, 캐나다, 호주, 뉴질랜드 등 다수 국가 고객 대상
  • 유출 항목
    • 기본정보: 이름, 연락처, 생년월일
    • 정부발급정보: 운전면허, 여권, 사회보장번호(SSN), 메디케어/메디케이드 ID
    • 결제정보: 신용카드번호
    • 사고 및 산재 관련 정보
  • 메인주 기준 3,409명 피해 통보, 전체 피해자 수는 수만 명에 달할 가능성
• 공격 그룹 및 위협 행위자 정보
  • 클롭(Clop) 랜섬웨어 그룹은 이미 MOVEit, GoAnywhere MFT 등 다수 MFT 솔루션의 제로데이를 활용한 전력이 있음
  • 허츠 데이터도 클롭의 다크웹 유출 사이트에 게시되어 협박 수단으로 활용됨
  • 이 그룹은 짧은 시간 내 다수 기업을 동시 타깃으로 하는 자동화된 공격 특성을 지님
• 대응 조치 및 피해 완화 방안
  • 허츠는 사이버 보안 전문업체 크롤(Kroll)과 협력해 2년간 무료 신원 모니터링 서비스 제공
  • 사법기관 및 각국 규제기관에 신속하게 신고하고 고객들에게 통지 진행
  • 현재까지 유출된 개인정보의 실제 악용 정황은 공식적으로 확인되지 않음
• 보안 권고
  • 서드파티 소프트웨어 공급망의 취약점이 주요 정보 유출의 원인이 되는 사례 증가
  • 기업의 파일 전송 시스템은 폐쇄형으로 구성하거나, 최소한 인터넷 노출을 피하는 구조로 전환 필요
  • 소프트웨어 보안 패치의 완전성 검증 및 공격자 관점에서의 리스크 사전 점검 필수
  • 랜섬웨어 그룹의 다크웹 공개 압박 전략에 대비한 위기 대응 프로세스 수립 필요
  • 대고객 보상 체계 및 개인정보 유출 대응 매뉴얼을 평시 체계화하여 리스크 대비해야 함
• 결론
  • 공급망 연계 시스템은 지속적 보안 검토와 위협 모델링이 필요
  • 전사적 침해사고 대응 계획(IRP)을 통해 서드파티 취약점에도 신속 대응할 수 있는 체계 구축 필요
  • 보안관제(SOC)팀은 외부 솔루션 연계 로그 및 트래픽 흐름을 SIEM을 통해 상시 모니터링해야 함
  • 민감정보 처리 기업은 신속한 통보, 모니터링 서비스 제공, 투명한 조사 공유 등 고객 신뢰 회복 전략 필요