미국 데이터 분석 기업 렉시스넥시스(LexisNexis)가 최근 데이터 유출 피해를 입었다고 인정했다. IT 전문 매체 테크레이더(TechRadar)는 4일(현지시간) 블리핑컴퓨터(BleepingComputer)를 인용해 이같이 보도했다.
해커 조직 펄크럼섹(FulcrumSec)은 렉시스넥시스를 해킹해 2GB 분량의 파일을 유출했다고 주장했다. 펄크럼섹은 오픈소스 프레임워크인 리액트투쉘(React2Shell)을 이용해 보안 패치가 적용되지 않은 앱을 공격했다. 이들은 수백 개의 데이터베이스 테이블과 직원 비밀번호 해시 등에 접근한 것으로 알려졌다.
해커 조직은 수백만 개의 데이터베이스 기록도 탈취했다고 밝혔다. 특히 정부 이메일 주소를 사용하는 100명 이상의 사용자 정보를 빼냈다고 주장했다. 여기에는 연방 판사와 미국 법무부 변호사, 증권거래위원회(SEC) 직원 등이 포함됐다. 이들은 실명과 전화번호 등이 포함된 약 40만 개의 클라우드 사용자 프로필에도 접근했다고 덧붙였다.
렉시스넥시스는 해킹 사실을 인정하면서도 유출된 데이터의 중요성은 낮게 평가했다. 렉시스넥시스 대변인은 "해당 서버에는 2020년 이전의 오래된 데이터가 주로 포함돼 있었다"고 설명했다. 고객 이름과 사용자 ID, 비즈니스 연락처 등이 여기에 해당한다.
이어 "사회보장번호나 운전면허증 번호 등 민감한 개인 식별 정보는 포함되지 않았다"고 강조했다. 신용카드와 은행 계좌 등 금융 정보나 활성화된 비밀번호도 유출되지 않았다고 덧붙였다.
펄크럼섹은 데이터를 삭제하는 대가로 렉시스넥시스에 접촉을 시도했으나 회사가 협상을 거부했다고 밝혔다. 렉시스넥시스는 이번 공격이 현재 통제된 상태라고 판단했다.