지난달 발생한 호주 최대 건강보험 회사 메디뱅크 해킹 사건의 배후를 자처하는 해커 일당이 고객정보 1건당 1달러를 요구하며 고객 정보를 유출하기 시작했다고 ABC뉴스와 디오스트레일리안 등 호주 매체들이 10일(현지 시각) 보도했다. 앞서 메디뱅크 측은 이번 해킹 사건으로 인한 정보 유출 고객의 수가 970만 명에 이른다고 밝힌 바 있다.
자신을 러시아 해커들이라고 밝힌 이들은 지난 7일 자정께 자신들이 확보한 정보의 대가를 요구하며 “고객정보가 24시간 후에 공개될 것”이라고 협박한 바 있다. 이들이 해킹을 통해 입수한 정보 중에는 마약 치료와 정신과 진단 자료 등 민감한 내용이 포함돼 있어 고객들의 집단 소송 등 파장이 적지 않을 것으로 보인다.
이들은 전날 오전부터 다크웹에 있는 자신들의 블로그에 “고객의 의료 기록과 관련된 민감한 세부 사항들을 공개한다”라며 자신들이 보유한 고객 정보 파일들을 올리기 시작했다. 다크웹(Dark web)은 특정 브라우저로만 접속이 가능한 비밀 웹사이트이다.
처음에는 고객의 이름과 생년월일, 주소, 이메일 주소, 전화번호, 건강보험 번호, 여권 번호 등 기본적인 인적 사항을 공개하기 시작했다. 하지만 이어 마약 중독 치료나 정신 건강 진단, 낙태 기록 등 민감한 의료 기록까지 공개하기 시작했다. 이들은 또 왓츠앱 메신저 등을 통해 메디뱅크 측과 협상했던 내용도 공개했다.
협상 당시 이들은 200기가바이트 분량의 데이터를 보유하고 있으며 정치인이나 마약 중독자 등 언론에서 흥미로워할 사람들의 명단도 가지고 있다고 주장하면서 1인당 미화 1달러, 총 970만 달러(약 132억 원)를 지불하면 외부에 정보를 판매하지 않겠다고 제안했다. 이와 함께 자신들이 고객 정보를 가지고 있다는 것을 증명하기 위해 보유한 파일의 복사본을 메디뱅크 측에 보내기도 했다.
하지만 메디뱅크 측은 몇 차례 대화 끝에 이들의 요구를 거절했고, 해커 집단들은 고객 정보를 유출하기 시작한 것으로 보인다.
앞서 메디뱅크 측은 또 이번 해킹 사건의 주범이라고 자처하는 해커 집단으로부터 고객 정보를 되돌려 받는 조건으로 몸값을 지불하라는 요구를 받았지만 이를 거절했다고 밝혔다. 당시 클레어 오닐 호주 내무장관은 메디뱅크의 이 같은 대응에 대해 “정부의 조언과 일치한다”며 “이런 일이 벌어진 원인을 긴급히 해결해야 한다는 것을 잘 알고 있다”라고 했다.하지만 이들은 7일 소셜미디어를 통해 “실수를 저지르고 그것을 바로잡지 않은 사람은 또 다른 실수를 저지른다”라며 “데이터가 24시간 후에 공개될 것”이라고 밝혔다. 이어 “추신: 메디뱅크 주식을 팔 것을 추천”이라고 적었다.
호주에서는 최근 각종 해킹 사고가 끊이지 않고 있다. 지난 9월에는 호주 2위 이동통신사 옵터스가 해킹당해 고객 980만 명의 개인정보가 유출됐고, 지난달에는 대형 온라인 쇼핑몰 마이딜이 공격당해 고객 220만 명의 정보가 새나갔다.
호주 사이버 보안 센터(ACSC)는 호주의 낡은 시설과 부족한 기술 인력으로 사이버 보안이 취약해 해킹 범죄의 표적이 되고 있다며 호주에서 랜섬웨어 등을 이용한 사이버 범죄가 7분에 한 번꼴로 발생하고 있다고 밝혔다. 이와 관련해 호주 연방 경찰은 성명을 통해 수사를 확대하고 있다며 추가 범죄 행위를 파악하기 위한 조치를 취하고 있다고 밝혔다.
한편 이번 사건으로 개인 정보가 유출된 고객들은 메디뱅크를 상대로 집단 소송을 준비하고 있는 것으로 알려졌다.