해커들, 구찌와 발렌시아가 데이터 유출로 수백만이 털렸다

해킹 그룹 ShinyHunters가 Kering이라는 회사 아래의 Gucci, Balenciaga 등 패션 브랜드로부터 5000만 건 이상의 고객 정보를 획득했다고 발표했습니다.

DataBreaches.net은 파일과 채팅 로그를 분석했는데, 이를 통해 ShinyHunters가 Kering 패션 브랜드인 Gucci, Balenciaga, Brioni, 그리고 Alexander McQueen에 대해 여러 차례 사이버 공격을 실행했다는 것을 확인하였습니다.

도난당한 고객 데이터에는 5000만 건 이상의 기록이 포함되어 있었으며, 이에는 이름, 전화번호, 이메일 주소, 생년월일, 구매 기록 등의 개인 정보가 포함되어 있습니다. 해커들은 고객 관리 플랫폼으로 활용하는 Salesforce를 통해 브랜드의 시스템에 침입했습니다.

해커들은 2017년부터 2024년 4월까지의 구찌(Gucci) 기록 4300만 건을 획득했다고 주장하고 있습니다. 또한 그들은 발렌시아가(Balenciaga), 브리오니(Brioni), 알렉산더 맥퀸(Alexander McQueen)으로부터 개인 데이터를 도난당해 1300만 건의 고객 기록이 노출되었습니다. Kering이 이 사건에 대해 어떠한 공식 발표도 하지 않아 영향을 받은 고객의 정확한 숫자는 아직 알려지지 않았습니다.

7월, 데이터가 이미 수집된 몇 달 후에, 케어링은 “정보 도난, 사보타지, 소셜 엔지니어링, [그리고] 사이버 테러”의 위험성을 강조하는 새로운 보안 정책을 발표했습니다.

회사에서는 다음과 같이 작성하였습니다:

“정보를 보호한다는 것은 그 정보의 기밀성, 무결성, 그리고 가용성을 보장하는 것을 의미합니다. 만약 정보가 분실, 도난, 부적절하게 공개된다거나 파괴되거나 변경된다면, 그로 인해 케링에게 심각한 결과가 초래될 수 있습니다. 그것은 고객의 신뢰 상실 […] 경쟁 우위 상실 […] 수익 상실을 포함합니다.”

유출된 협상 기록에 따르면 발렌시아가는 2025년 6월부터 ShinyHunters와의 협상을 시작했습니다. 해커들은 처음에는 10 비트코인을 요구했지만, 그 후 랜섬 요구액을 암호화폐로 750,000유로로 낮추었고, GDPR 벌금이 회사의 전세계 매출의 4%에 달할 수 있다고 주장했습니다. 발렌시아가의 협상자는 랜섬 지급에 대한 우려를 표현했는데, 이것이 추가적인 사이버 범죄자들을 유혹해 회사를 목표로 삼을 수 있다고 생각했기 때문입니다.

발렌시아가와 해커들 사이의 협상은 여러 주 동안 계속되었고, 해커들이 200,000유로 제안을 거절하였습니다. 그 후 해커들은 도난당한 데이터를 공개하기 전에 발렌시아가에게 최종 경고를 보냈습니다.

Kering에 대한 투명성 부족이 수백만의 고급 패션 소비자들을 위험에 빠뜨리는 한편, 이 회사는 고객 데이터를 보호하는 데 대한 책임에 대한 질문에 직면하고 있습니다.