
□ 개요
1744년 런던에서 설립된 국제 경매기업 소더비(Sotheby’s)는 2025년 7월 24일(현지시간), 내부 시스템의 일부 데이터가 외부 행위자에 의해 무단 반출된 정황을 확인했습니다. 이에 즉시 제3자 보안 전문기관과 함께 조사에 착수했으며, 조사 결과는 9월 24일 경 완료되었습니다. 분석 결과, 유출된 정보에는 개인별로 상이하나 이름, 사회보장번호(SSN), 금융 계좌 정보 등이 포함되어 있으며, 메인주 거주자 2명의 정보가 노출된 것으로 확인되었습니다. 회사는 연방 법집행기관과 협력하고, 주요 신용평가기관(Equifax·Experian·TransUnion) 및 감독기관에도 공식 통지를 완료했습니다.
□ 사고내용 요약
1. 회사명 : Sotheby’s (소더비, 영국·미국 기반 국제 경매사)
2. 사고유형 : 외부 해킹 및 시스템 침입 에 따른 데이터 반출 사건
3. 유출규모 : 구 메인주 거주자 2명 확인 (기타 지역 피해자는 집계 중, 구체적 숫자 비공개)
※ 유출 통지서에 의한 데이터로, 일부 보도에서는 최대 100만 명 이상 추정
4. 유출항목 : 이름, 사회보장번호(SSN), 금융 계좌 정보 등 민감 개인정보
□ 해킹대응 타임라인
- 2025년 7월 24일 : 미상의 공격자가 시스템 침입 → 데이터 탈취 인지
- 2025년 7월 25일 이후 : 외부 보안업체 및 포렌식 전문가와 공동조사 착수
- 2025년 9월 24일 : 조사 완료, 유출 데이터 및 피해자 범위 확정
- 2025년 10월 중순 : 피해 고객 대상 개별 통지 및 신용보호 서비스 제공 공지
□ 다크웹 협박 게시글
현재까지 소더비 데이터를 공개하거나 협박 게시한 사이버 범죄 그룹은 확인되지 않음.
※ 단, 일부 다크웹에서 유출 데이터 일부 거래 정황이 언급되었으나 공식 확인은 없음.
□ 개인정보 유출 관련 안내 공지
소더비 공식 홈페이지에는 별도의 “Data Incident Notice” 게시 페이지가 확인되지 않았으며, 공식 통지문은 미국 메인주 법무장관(Maine Attorney General) 사이트를 통해 공개되었습니다.
📄 공식 통지문 링크 : Notice of Data Event – Maine.gov
□ 대응내역
- 제3자 보안전문기관 및 포렌식 조사 실시
- 연방 법집행기관과 공조, 주요 신용평가기관 통보 완료
- 시스템 보안 점검 및 접근권한 검증 수행
- 다층 방어 체계 구축 : 암호화 연결, 고급 위협 방지 기술 적용
- 정기 시스템 패치, 내부 사고대응 훈련, 협력사 보안 검증 실시
- 피해자에게 12개월 무료 신용 모니터링(TransUnion) 및 신원보호 서비스 제공
□ 재발방지대책(권고사항)
1. 기술적 조치
- 민감 개인정보 암호화 및 접근통제 로그 실시간 감시
- EDR·SIEM 기반 유출 탐지 및 비정상 접근 경보 체계 강화
- 백업 시스템 분리 및 정기 보안패치 관리
- 다크웹 데이터 모니터링 시스템 운영
2. 관리적 조치
- 유출 사건 대응 훈련 및 보고체계 정립
- 협력사·파트너 보안 평가 주기적 시행
- 직원 보안 의식 강화 및 피싱 대응 교육
- 신용평가기관 연계 피해자 사후관리 프로세스 운영
□ 관련기사(출처)
감사합니다.
| [KT] BPF 도어 감염 및 신고 지연 정황_2025년 11월 (0) | 2025.11.09 |
|---|---|
| [에이플넷] 팔로알토 유지보수사 해킹 정황…금융·공공 고객사 정보 유출 우려_2025년 10월 (0) | 2025.10.31 |
| [LG유플러스] 계정권한관리 서버 해킹 및 OS 재설치 정황_2025년 10월 (0) | 2025.10.20 |
| [정부 행정망] 온나라시스템 해킹 사건 보고서_2025년 10월 (0) | 2025.10.18 |
| [SK쉴더스] 해커그룹 ‘Black Shrantac’의 24GB 내부 데이터 탈취 주장 정황_2025년 10월 (0) | 2025.10.17 |