2025.4.15 렌터카 '허츠' 개인정보유출

 

사건 개요

• 2025년 2월 10일, 글로벌 렌터카 기업 **허츠(Hertz Global Holdings)**가 **클레오(Cleo)**의 파일 전송 소프트웨어 제로데이 취약점을 악용한 해킹 공격으로 고객 개인정보 유출 사실을 공식 발표.
• 공격자는 클레오 하모니(Cleo Harmony), VLTrader, LexiCom 플랫폼의 제로데이(CVE-2024-50623, CVE-2024-55956) 취약점을 이용.
• 공격은 2024년 10월과 12월 두 차례에 걸쳐 이뤄졌으며, 2025년 2월에 유출 사실을 내부 분석을 통해 확인.
• 허츠 외에도 **산하 브랜드 스리프티(Thrifty), 달러(Dollar)**의 고객도 피해.

 

피해 규모

• 유출 정보
  • 일반 정보: 이름, 연락처, 생년월일, 운전면허 정보, 신용카드 정보 등
  • 민감 정보: 사회보장번호(SSN), 여권정보, 메디케어/메디케이드 식별번호 등
• 미국 메인주에서만 최소 3,409명이 피해 통보 받음.
• 피해 범위는 미국, 캐나다, 유럽, 호주, 뉴질랜드, 영국 등 다국적 고객에 걸침.
• 캘리포니아, 버몬트주 등에서도 통보는 있었지만 구체적인 수치는 비공개.
• 현재까지 유출된 정보의 실제 악용 사례는 확인되지 않음.

 

원인

• 클레오 파일 전송 플랫폼의 **취약점(CVE-2024-50623, CVE-2024-55956)**을 통한 무단 접근 및 시스템 명령 실행.
• 제로데이 취약점을 이용한 클롭(Clop) 랜섬웨어 그룹의 공격으로 확인됨.
• 클롭은 허츠의 데이터를 다크웹 유출 사이트에 게시하며 협박 진행.
• 클레오는 초기 보안 패치를 배포했으나, 첫 번째 패치는 불완전, 이후 두 번째 취약점이 발견되고 수정됨(버전 5.8.0.24에서 해결).