지역별 뉴스를 확인하세요.

노바스코샤 전력사, 고객 정보 유출

“최대 14만 명 SIN번호 유출 가능성”

[노바스코샤 파워 공식 인스타그램 @nspowerinc]

캐나다 노바스코샤 주 전력회사인 노바스코샤 파워(Nova Scotia Power)의 고객 정보가 랜섬웨어 공격으로 대량 유출되며, 최대 14만 명의 사회보장번호(Social Insurance Number, SIN)가 해커에게 도난당했을 가능성이 제기됐다.

노바스코샤 파워는 노바스코샤 주 할리팩스에 본사를 둔 에너지 지주회사 에메라(Emera)의 자회사로, 주 내 전력 공급을 담당하고 있다.

지난달 29일(목), 노바스코샤 파워의 CEO 피터 그렉은 에메라에서 열린 언론 인터뷰에서, “고객 본인 확인을 위해 SIN 번호를 수집했다”며 이는 “동명이인을 구별하기 위한 용도였다”고 밝혔다.

그렉 CEO는 지난 5월 23일 총 고객 약 28만 명 중 절반 수준에 해당하는 고객 정보가 유출됐다고 발표한 바 있다. 그는 이 중 절반가량, 즉 약 14만 명의 고객 SIN 번호가 포함돼 있을 수 있다고 설명했다.

그러나 사이버보안 전문가들은 유틸리티 기업이 SIN 번호를 수집•보관하는 것 자체에 대해 의문을 제기한다.

비영리 사이버보안 단체 ‘KnowledgeFlow’ 설립자인 클라우디우 포파는 “정부는 SIN 번호를 식별 목적으로 사용하는 것을 권장하지 않는다”며 “보다 덜 민감한 방식으로 고객을 구분할 수 있다”고 말했다.

실제로 캐나다 정부는 공식 웹사이트에서 SIN 번호는 고용과 세금 관련 용도로만 사용되어야 하며, 법적 의무가 없는 한 제공을 피해야 한다고 명시하고 있다. 또, 이 번호가 유출되면 정부 혜택 사기나 세금 환급 도용 등 다양한 범죄에 악용될 수 있다고 경고하고 있다.

그렉 CEO는 SIN 번호 제공이 고객의 자발적인 선택 사항이었다며 “필수 제출 사항은 아니었다”고 해명했다. 이번 개인정보 유출 사고는 3월 중순 처음 발생했으며, 4월 말 언론을 통해 공개됐다. 이후 전력사는 유출된 정보 범위와 경위에 대해 조사를 이어가고 있다.

포파는 "이 정도 시간이 흘렀다면 피해 고객에게 어떤 정보가 유출됐는지 보다 구체적으로 통지했어야 한다"며 "위험성에 대한 명확한 경고도 부족하다"고 지적했다.

이에 대해 그렉 CEO는 “조사가 진행 중인 상황에서 확인되지 않은 정보를 제공하는 것은 조심스러울 수밖에 없다”며 “확실한 사실이 밝혀지는 대로 고객에게 투명하게 공유하겠다”고 밝혔다.

임영택 기자 [email protected]