[더구루=오소영 기자] 독일에서 삼성전자가 보유한 고객 정보 27만여 건이 유출됐다. 삼성 협력사 직원의 로그인 정보를 해킹한 이들이 이름과 주소 등 민감한 개인 정보를 탈취한 것으로 확인됐다. 삼성은 곧바로 문제를 인지, 조사를 진행 중이다. 

이스라엘 사이버 보안 업체 허드슨 록(Hudson Rock)은 지난달 31일(현지시간) 자체 사이트 '인포스틸러'에서 해커 'GHNA(가명)가 삼성 독일 서비스센터에서 빼낸 27만여 건의 고객 정보를 온라인에 무료로 유포했다고 밝혔다.

이번 사건은 지난 2021년 삼성 독일 서비스센터를 운영하는 스펙토스(Spectos GmbH)를 겨냥한 해킹 공격에서 시작됐다. 해커는 악성코드 '라쿤 인포스틸러'를 심어 스펙토스 직원의 로그인 정보를 탈취했다. 이후 4년 동안 해당 정보는 방치됐다. 비밀번호는 바뀌지 않았고 외부 접근도 차단되지 않았다.

GHNA는 이를 악용해 고객 개인 정보에 손쉽게 접근했다. 해킹된 정보에는 이름과 메일 주소, 자택 주소, 주문 번호·결제 수단·가격과 같은 거래 세부 정보, 상담원 이메일 등 민감한 정보가 포함됐다. 허드슨 록의 공동 창업자 겸 최고기술책임자(CTO) 알론 갈(Alon Gal)은 "GHNA는 이 데이터를 수백만 달러에 판매하지 않고 무료로 제공하고 있어 더욱 위험하다"고 부연했다.

허드슨 록은 해킹 우려를 사전에 경고했었다고 지적했다. 수년 전부터 문제가 된 스펙토스 직원의 로그인 정보가 위험에 노출됐음을 알렸다며, 삼성과 협력사에서 이를 미리 확인했다면 예방할 수 있었다는 설명이다.

한편 삼성전자 측은 포브스를 통해 "독일 한 협력사에서 발생한 데이터 유출 사고를 인지했다"며 "고객 데이터의 보안을 매우 중요하게 생각하며 이번 사건의 영향을 파악하고자 조사를 진행 중이다"라고 입장을 밝혔다.