아마존, 직원 데이터 일부 유출…사이버범죄 포럼 게시

아마존 "내부 아닌 자산 관리 공급업체 사고...민감 데이터 포함하지 않아"

(지디넷코리아=남혁우 기자)아마존에서 유출된 직원 데이터 일부가 사이버범죄 포럼을 통해 공개됐다.

12일 404미디어 등 외신에 따르면 한 해커가 아마존의 기업데이터 일부를 탈취했다며 해당 내용 중 일부를 사이버범죄 포럼인 브리치포럼(Breach Forums)에 게시했다.

게시된 내용에 따르면 유출된 데이터는 총 280만 줄에 달하며 이 중에는 일부 직원의 이름, 업무 연락처 정보, 근무 위치도 포함하고 있다.

아마존

게시물을 올린 해커는 클라우드 데이터 관리 도구인 '무브잇(MOVEit)을 통해 해당 데이터를 확보한 것이라고 주장했다.

이에 대해 아마존 측은 통해 게시된 데이터가 실제 아마존의 것이라고 밝혔다. 다만 이번 탈취는 파트너사에서 발생한 것으로, 유출된 직원 정보는 기업내 정보로 제한돼 아마존 내부의 보안사고는 아니라고 일축했다.

사이버범죄 포럼은 사이버범죄자들이 탈취한 데이터나 해킹 도구 등을 공유하거나 거래하는 사이트다. 수사망을 회피하기 위해 다크웹을 통해 운영된다.

이번 아마존의 탈취된 데이터가 게시된 브리치포럼의 경우 미국 연방수사국(FBI)과 사업부의 공조로 폐지됐으나 최근 재개한 것으로 알려졌다.

아마존 대변인은 "최근 자산 관리 공급업체 중 한 곳에서 보안 사고가 발생해 아마존을 포함한 여러 기업에 피해가 발생했다는 보고를 받았다"며 "유출된 정보는 업무 이메일 주소, 내선 번호, 건물 위치 등 업무 관련 정보에 한정된다"고 설명했다.

이어 "이번 위협에서 사회보장번호나 정부 신분증, 금융 데이터 등 민감한 데이터에는 접근하지 못한 것을 확인했다"며 "더불어 유출 사고가 발생한 파트너사는 이런 사고를 방지하기 위해 보안 취약점을 근본적으로 수정했다"고 덧붙였다.

남혁우 기자(firstblood@zdnet.co.kr)