7-Eleven 데이터 유출, 185,000명 개인정보 노출
ShinyHunters extortion gang은 183,000명이 넘는 사람들의 개인 정보를 4월에 편의점 체인 거인 7‑Eleven의 시스템을 해킹한 뒤 탈취했으며, 이는 데이터 유출 알림 서비스 Have I Been Pwned에 의해 확인되었습니다.
1927년에 설립된 7‑Eleven은 현재 전 세계에 86,000개 이상의 매장을 운영·프랜차이즈·라이선스하고 있으며, 미국과 캐나다에만 13,000개 매장이 있습니다. 7‑Eleven은 또한 Speedway, Stripes, Laredo Taco Company, Raise the Roost Chicken and Biscuits 매장을 운영·프랜차이즈하고 있으며, 7Rewards와 Speedy Rewards 로열티 프로그램의 회원 수는 1억 명을 넘어섭니다.
회사는 **데이터 유출 알림 서한**을 통해 5월 1일에 영향을 받은 고객에게 공격자가 4월 초에 일부 7‑Eleven 시스템에 접근한 뒤 미공개 인원의 데이터를 탈취했다고 밝혔습니다.
“우리는 최근 2026년 4월 8일에 무단 제3자가 프랜차이즈 문서를 보관하는 특정 7‑Eleven 시스템에 접근한 것을 발견했습니다.”라고 7‑Eleven은 전했습니다.
7‑Eleven은 이번 공격을 특정 해킹 그룹이나 위협 행위자에게 귀속시키지 않았으며 사건에 대한 추가 세부 사항도 공개하지 않았지만, ShinyHunters extortion gang은 4월 17일에 공격 책임을 인정했습니다.
이 사이버 범죄 조직은 7‑Eleven의 Salesforce 환경을 침해한 뒤 기업 데이터와 개인 식별 정보를 포함한 600,000건 이상의 레코드를 탈취했다고 주장했습니다. 이후 기업이 몸값을 지불해 데이터를 반환·파기해 달라는 요구를 거부하자, 그들은 9.4 GB 규모의 문서 아카이브를 다크웹 유출 사이트에 공개했습니다.
ShinyHunters 유출 사이트에 올라온 7‑Eleven 항목 (BleepingComputer)
BleepingComputer가 ShinyHunters의 주장을 확인하고 영향을 받은 인원 수를 알려 달라고 문의했지만 7‑Eleven 관계자는 답변하지 않았습니다. Have I Been Pwned는 사이버 범죄 그룹이 유출한 데이터를 분석한 결과, 이번 유출로 185,300명의 데이터가 노출되었습니다. 여기에는 이름, 생년월일, 고유 이메일 주소, 전화번호, 물리적 주소 등이 포함됩니다.
“이번 사건으로 185 k개의 고유 이메일 주소와 함께 이름, 물리적 주소, 생년월일, 전화번호가 노출되었습니다. 일부 레코드에는 추가적인 노출 데이터 필드도 포함돼 있습니다.”라고 보고했습니다. “회사는 이후 유출이 ‘프랜차이즈 문서를 보관하는 특정 7‑Eleven 시스템’에 국한된 것으로 제한됐다고 밝혔으며, 이는 노출된 데이터와 일치하는 진술입니다.”
7‑Eleven 덴마크는 **2022년 8월 랜섬웨어 공격의 피해 사실을 확인**했으며, 공격자는 일부 시스템을 암호화하고 체인 전체 매장 175개를 폐쇄하도록 강요했습니다.
ShinyHunters는 지난 1년간 Salesforce 고객을 표적으로 삼아 수백 개 기업을 침해했으며, Salesforce Aura 데이터 절도 공격 및 **Salesloft Drift 캠페인**에서 수십억 건의 레코드를 탈취했다고 주장합니다.
ShinyHunters가 최근에 주장한 다른 유출 사건들:
- 유럽연합 집행위원회
- Vimeo
- 스페인 패스트패션 소매업체 Zara 와 MANGO
- McGraw‑Hill
- ADT
- Medtronic
- PornHub
- Rockstar Games
- Match Group
- 기술 대기업 Cisco 와 Google
두 주 전, FBI는 **ShinyHunters 피해자들에게 위협 행위자의 요구에 굴복하지 말 것을 권고**했으며, 이전에 경고한 바와 같이 몸값을 지불한다고 해서 범죄자들이 탈취된 데이터를 다른 사이버 범죄자에게 판매하거나 다시 협박할 위험이 사라지지는 않는다고 밝혔습니다.
검증 격차: 자동화된 침투 테스트가 답할 수 있는 질문은 하나뿐. 여섯 개가 필요합니다.
자동화된 침투 테스트 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 통과할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 올바른지 등을 테스트하도록 만들어지지 않았습니다.
이 가이드는 실제로 검증해야 할 6가지 영역을 다룹니다.