출처: 토큰포스트
탈중앙화 신원 인증 스타트업이자 KYC 검증 제공업체인 프랙탈 ID(Fractal ID)가 7월 14일에 발생한 데이터 유출 사고에 대한 사후 분석 보고서를 발표했다. 회사는 약 6,300명의 사용자 데이터가 유출되었으며, 여기에는 이름, 이메일 주소, 전화번호, 지갑 주소, 실제 주소, 업로드된 문서의 이미지 등이 포함될 수 있다고 밝혔다.
21일(현지시간) 더 블록에 따르면, 베를린에 본사를 둔 프랙탈 ID는 폴리곤(Polygon), 리플(Ripple), 니어(NEAR)를 포함한 최소 8개의 암호화 프로토콜에 대한 컴플라이언스 지원을 제공하며, 250개 이상의 기업을 고객으로 두고 있다.
해커는 직원의 계정을 통해 시스템에 접근했다. 해당 직원이 시스템 관리자 수준의 접근 권한을 가지고 있었기 때문에 해커는 내부 데이터 프라이버시 시스템을 우회할 수 있었고, 자동화 시스템이 엔지니어에게 알림을 보내어 공격이 시작된 지 29분 만에 공격자를 차단할 수 있었다고 회사는 밝혔다.
회사는 공격의 책임을 주장한 당사자가 몸값을 요구했지만, 이에 응하지 않고 대신 베를린 사이버 범죄 법 집행 기관에 연락했다고 밝혔다. 또한 피해를 입은 사용자들에게도 연락했다고 밝혔다. 회사는 향후 공격을 방어하기 위해 민감한 데이터에 접근할 수 있는 계정을 제한하고, 알 수 없는 IP 주소로부터의 로그인 요청을 차단하는 등 여러 조치를 취할 계획이라고 설명했다.
최초 해킹은 2022년으로 거슬러 올라가
사이버 범죄 정보 회사 허드슨 록(Hudson Rock) 연구원들에 따르면, 해당 직원의 컴퓨터는 2022년 9월에 처음으로 해킹당했다. 이 컴퓨터는 2019년 4월 처음으로 관찰된 일반적인 서비스형 악성코드인 라쿤 ‘정보 탈취기’에 감염되었다.
‘컴퓨터는 2022년에 감염되었지만, 피해자가 비밀번호를 변경하지 않아 해커가 계정에 침투하고 해킹을 시작할 수 있게 되었다’고 연구원들은 작성했다.
프랙탈 ID는 사후 분석 보고서에서 ‘운영자가 우리의 보안 정책과 교육을 따르지 않았다. 우리는 앞으로 어떤 운영자도 이러한 정책을 우회할 수 없도록 기술적 조치를 마련했다. 이는 소프트웨어 취약점의 결과가 아니다’고 설명했다.
미국 법무부는 2022년 우크라이나 국적의 26세 마크 소콜로프스키(Mark Sokolovsky)를 라쿤 정보 탈취기를 운영하는 음모를 꾸민 혐의로 기소했다. 라쿤 정보 탈취기는 잠재적인 해커들에게 한 달에 암호화폐 200달러에 대여된 것으로 알려졌다. FBI는 전 세계 수백만 명의 잠재적 피해자로부터 도난당한 데이터에서 ‘5천만 개 이상의 고유 자격 증명과 식별 형식(이메일 주소, 은행 계좌, 암호화폐 주소, 신용카드 번호 등)’을 식별할 수 있었다고 밝혔지만, 이 숫자가 과소 평가되었을 가능성이 높다고 인정했다.
러시아의 우크라이나 침공 이후 죽음을 위장하려던 시도가 실패한 후, 소콜로프스키는 지난 2월 미국으로 송환되었다. 미국 정부는 사용자들이 자신의 자격 증명이 유출되었는지 확인할 수 있는 웹사이트를 개설했다.
