삼성전자 독일 법인이 대규모 데이터 유출 사고를 당한 것으로 보인다. 현재 약 27만 명의 rhorr 정보가 다크웹 포럼에서 판매 중이다. “GHNA”라는 가명을 사용하는 범죄 해커는 이 데이터가 최근 삼성전자 독일 법인의 고객 지원 시스템에서 복사한 것이라고 주장했다.

다크웹 게시물에 따르면 유출된 데이터에는 이름, 주소, 이메일, 주문 정보, 내부 커뮤니케이션 내용이 포함된다. 이번 침해 사고를 분석한 보안 업체 허드슨 록(Hudson Rock)은 초기 침입이 2021년 인포스틸러(infostealer) 악성코드로 탈취된 로그인 자격 증명을 통해 이뤄졌다고 설명했다.

IT 서비스 제공업체를 경유한 공격

2021년 탈취된 로그인 자격 증명은 서비스 품질 모니터링 및 개선 소프트웨어를 제공하는 IT 서비스 업체 스펙토스(Spectos) 직원의 컴퓨터에서 유출된 것으로 확인됐다. 스펙토스는 삼성 독일 고객지원 티켓 시스템인 samsung-shop.spectos.com과 연동된다. 유출된 자격 증명은 수년간 변경되지 않은 상태였던 것으로 보인다.

이처럼 사이버 범죄자는 합법적인 사용자 계정을 공격 체인 전반에 활용해 시스템에 접근하고, 내부에 침입한 뒤에는 탐지되지 않도록 움직인다. 과거 유출된 자격증명이 4년 동안 유효했던 점은 특히 주목할 만하다. 허드슨 록 연구팀은 보고서에서 “삼성이 조치를 취할 수 있었지만 그러지 않았고, 이제 피해가 발생했다”라고 지적했다.

삼성전자 독일 법인은 본지의 질의에 대해 “삼성의 독일 내 비즈니스 파트너 중 한 곳의 IT 시스템에서 고객 데이터에 대한 무단 접근 사고가 발생했다”라고 인정했다. 그러나 그 외 모든 질문에는 답변하지 않았다. 삼성은 현재 사고의 범위에 대해 조사 중이라고 밝혔다.

삼성에서 사이버 사고가 발생한 것은 이번이 처음이 아니다. 2022년에는 미국 법인의 시스템이 해킹당했으며, 당시에도 공격자는 개인정보 탈취에 성공했다.
dl-itworldkorea@foundryco.com