요약
- 국제 사이버 범죄 조직인 '샤이니헌터스(ShinyHunters)'의 공격으로 인해 글로벌 편의점 기업 세븐일레븐의 가맹점 문서 저장 시스템이 해킹
- 공격자는 클라우드 기반 저장소인 세일즈포스(Salesforce) 환경을 직접 공략하여 대량의 문서를 탈취
- 세븐일레븐 측은 침해 정황을 확인한 후 미국 주요 주 당국에 공식 신고하였으며, 민감 정보 유출에 따른 가맹점주 대상의 2차 피해 우려가 심화
피해규모
- 서비스 및 시스템 범위: 가맹점주 관련 핵심 문서 및 신청서가 저장된 세일즈포스(Salesforce) 기반 클라우드 저장 시스템이 침해
- 유출 데이터 규모: 샤이니헌터스 측은 60만 건 이상의 세일즈포스 레코드를 탈취했다고 주장하였으며, 세븐일레븐은 가맹점주의 이름, 주소, 사회보장번호(SSN), 운전면허증 정보 등의 유출을 공식 인정
- 피해 대상자 수: 전체 가맹점 피해 규모는 공개되지 않았으나, 매사추세츠주(47명), 메인주(2명), 버먼트주(1명) 등 일부 규제 당국 신고 내용 기준 최소 50명 이상의 가맹점주 정보 노출이 일차적으로 확인되었으며 추가 조사 중.
- 금전적 피해액: 해커 조직이 다크웹 포럼에서 탈취 데이터를 25만 달러(한화 약 3억 4천만 원)에 판매 제안한 정황이 포착
- 서비스 중단 기간: 전산망 침입 및 탈취는 4월 중 발생하였으나, 별도의 내부 운영 시스템 마비나 영업 서비스 중단은 발생하지 않은 것으로 확인
원인
- 보안 취약점 종류: 클라우드 오설정(Cloud Misconfiguration), 서드파티 AI 및 협업 도구 연동 시스템의 인증 결함, 피싱을 통한 OAuth(개방형 인증) 리프레시 토큰 탈취 등으로 분석
- 침투 경로 및 방법: 내부망을 직접 타격하는 대신 세븐일레븐이 이용 중인 세일즈포스 인스턴스(Salesforce Instance, 클라우드 가상 환경)에 무단 접근하여 관리 권한을 획득한 후 내부 데이터를 대량으로 유출(Data Exfiltration)하는 수법을 사용
- 조직의 관리적 결함: 가맹 신청 및 관리 과정에서 수집된 사회보장번호(SSN) 등 최고 수준의 민감 정보 저장소에 대한 접근 제어(Access Control) 및 다중인증(MFA) 관리 정책이 미흡했던 것으로 판단
'정보보안 > 사건사고' 카테고리의 다른 글
| 2026.5.20 디즈니, 무단 안면인식 기술 사용으로 5백만 달러 소송 (0) | 2026.05.20 |
|---|---|
| 2026.5.20 샤넬코리아 글로벌 계정 통합 과정에서의 개인정보 국외이전 강제 및 고지 의무 위반 논란 (0) | 2026.05.20 |
| 텔레그램 기반 사적 보복 대행 범죄 확산 및 개인정보 유출 경로 수사 (0) | 2026.05.19 |
| 2026.5.19 CJ그룹 계열사 임직원 개인정보 유출 및 텔레그램 무단 유포 (0) | 2026.05.19 |
| 2026.01.14 미국 대형 투자 앱 ‘베터먼트’ 사회공학 공격으로 개인정보유출 사고 (0) | 2026.01.14 |