Canada Goose, 해커가 60만 건의 고객 기록을 유출하면서 조사 중

Source: Bleeping Computer

캐나다 구스, 침해 증거 없음 확인

“캐나다 구스는 과거 고객 거래와 관련된 과거 데이터 세트가 최근 온라인에 공개된 것을 인지하고 있다”고 회사는 BleepingComputer에 말했다.

“현재로서는 우리 시스템이 침해된 징후가 없습니다. 우리는 새로 공개된 데이터 세트를 검토하여 정확성과 범위를 평가하고 필요에 따라 추가 조치를 취할 예정입니다. 명확히 말씀드리자면, 검토 결과 마스킹되지 않은 금융 데이터가 포함되었다는 증거는 발견되지 않았습니다. 캐나다 구스는 고객 정보 보호에 전념하고 있습니다.”

1.67 GB 데이터 세트에 상세 주문 기록 포함

ShinyHunters는 이번 주에 캐나다 구스를 데이터 유출 사이트에 추가했으며, 해당 아카이브에 600,000건 이상의 고객 기록이 포함되어 있다고 주장했습니다.

ShinyHunters 데이터 유출 사이트에 캐나다 구스와 600K 기록이 나열된 모습 (BleepingComputer)

BleepingComputer가 검토한 샘플에 따르면, JSON 형식으로 공개된 1.67 GB 데이터 세트에는 다음과 같은 상세 전자상거래 주문 기록이 포함되어 있습니다:

• 고객 이름, 이메일 주소, 전화번호
• 청구 및 배송 주소
• IP 주소, 디바이스 및 브라우저 정보
• 주문 이력 및 주문 금액

또한 카드 브랜드, 카드 번호 마지막 네 자리, 경우에 따라 첫 여섯 자리(BIN)와 결제 승인 메타데이터 등 부분적인 결제 카드 정보도 포함되어 있습니다. 전체 카드 번호는 없지만, 노출된 정보만으로도 표적 피싱, 사회공학, 사기 등에 악용될 수 있습니다.

해커들, 최근 SSO 공격과의 연관 부인

ShinyHunters는 최근 싱글 사인온(SSO) 계정 및 클라우드 환경을 표적으로 하는 사회공학 공격 파동과 연관된 것으로 알려졌습니다.

캐나다 구스 데이터가 이러한 침해를 통해 입수된 것인지 여부를 물었을 때, 해당 그룹은 데이터 세트가 무관하며 2025년 8월에 발생한 제3자 결제 처리업체 침해에서 유출된 것이라고 주장했습니다. BleepingComputer는 이 주장을 독립적으로 확인하지 않았습니다.

데이터 세트의 스키마(checkout_id, shipping_lines, cart_token, cancel_reason 등 필드명)는 호스팅된 스토어프런트 및 결제 처리 플랫폼에서 일반적으로 내보내는 전자상거래 체크아웃 데이터와 매우 유사합니다. 이는 데이터가 제3자 서비스 제공업체에서 유출되었을 가능성을 설명해 줍니다.

ShinyHunters는 누구인가?

ShinyHunters는 주요 브랜드와 온라인 서비스로부터 대량의 고객 데이터를 탈취·유출하는 것으로 알려진 다작 데이터·공갈 그룹입니다. 이 그룹은 수많은 고프로파일 침해와 데이터 절도 사건에 연루된 바 있으며, 주로 전자상거래 플랫폼, SaaS 서비스 및 클라우드 환경을 표적으로 합니다.

최근 보도에 따르면, 보안 연구원들은 이 그룹이 기업 계정 및 클라우드 데이터를 탈취하기 위해 보이스피싱 및 사회공학 캠페인과 연계된 것으로 확인했습니다. 탈취된 데이터는 일반적으로 공갈에 사용되거나 underground 포럼에서 판매되며, 피해자가 지불을 거부할 경우 그룹의 유출 사이트에 공개됩니다.

얼마나 많은 캐나다 구스 고객이 영향을 받을지는 아직 밝혀지지 않았으며, 개인에게 통보될지도 확정되지 않았습니다. 회사는 데이터 세트의 정확성과 범위를 판단하기 위해 계속 검토 중이라고 밝혔습니다.