it

Zara 데이터 유출, 197,000명 개인 정보 노출

발행: (2026년 5월 8일 PM 07:42 GMT+9)
7 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

스페인 패스트‑패션 소매업체 Zara의 데이터베이스에 접근한 해커들이 197,000명 이상의 고객에 대한 데이터를 탈취했다고 데이터‑유출 알림 서비스 Have I Been Pwned가 전했습니다.

Zara는 전 세계에 1,500개 이상의 자체 운영 및 가맹점들을 보유하고 있으며, 세계 최대 패션 유통 그룹 중 하나인 Inditex Group의 대표 브랜드입니다. Inditex는 또한 Bershka, Zara Home, Oysho, Pull&Bear, Massimo Dutti, Stradivarius,Uterqüe를 소유하고 있습니다.

Inditex 성명

Inditex가 지난달에 발표했듯이, 침해가 널리 보도될 때 손상된 데이터베이스는 이전 기술 제공업체가 호스팅했으며 다양한 시장에서 고객과의 비즈니스 관계에 대한 정보를 포함하고 있었습니다.

  • 공격자는 **고객의 이름, 전화번호, 주소, 자격 증명 또는 결제 정보(예: 은행 카드)**에 접근하지 못했습니다.
  • Inditex의 운영 및 시스템은 영향을 받지 않았습니다.
  • 회사는 아직 침해를 특정 위협 행위자에게 귀속시키거나 해킹된 제공업체를 확인하지 못했습니다.

“Inditex는 즉시 보안 프로토콜을 적용했으며, 이전 기술 제공업체에 영향을 미친 보안 사고에서 비롯된 이 무단 접근에 대해 관련 당국에 통보를 시작했습니다. 이는 국제적으로 운영되는 여러 기업에 영향을 미쳤습니다.”
Inditex press release

ShinyHunters 주장

Inditex와 Zara는 아직 추가 세부 정보를 공개하지 않았지만, ShinyHunters 갈취 조직은 책임을 인정하고 140 GB 규모의 아카이브를 유출했다고 주장했습니다. 이 아카이브에는 손상된 Anodot 인증 토큰을 사용해 BigQuery 인스턴스에서 탈취한 것으로 추정되는 문서들이 포함되어 있습니다.


BleepingComputer가 제공한 ShinyHunters 데이터‑유출 사이트의 Zara 항목

Have I Been Pwned는 유출된 데이터를 분석한 결과, 197,400명에 해당하는 데이터가 노출되었으며 여기에는 고유 이메일 주소, 지리적 위치, 구매 내역 및 지원 티켓이 포함된다고 보고했습니다:

“데이터에는 197k개의 고유 이메일 주소와 함께 제품 SKU, 주문 ID 및 지원 티켓이 발생한 시장 정보가 포함되어 있었습니다.”
Have I Been Pwned – Zara breach

이전에는 해당 조직이 BleepingComputer에 Anodot 인증 토큰을 이용해 수십 개 기업의 데이터를 탈취했으며, Salesforce 인스턴스에서 데이터를 탈취하려다 AI 기반 탐지에 차단당했다고 밝혔습니다.

또한 이 그룹은 Microsoft Entra, Okta, 그리고 Google SSO 계정을 대상으로 하는 광범위한 vishing 캠페인과 연결되어 있습니다. 이 캠페인은 기업 SSO 계정을 침해한 뒤 연결된 SaaS 애플리케이션(Salesforce, SAP, Slack, Adobe, Atlassian, Zendesk, Dropbox, Microsoft 365, Google Workspace 등)에서 데이터를 탈취하려는 목적을 가지고 있습니다.

ShinyHunters가 주장한 기타 침해 사건 (최근 몇 개월)

  • Google – 진행 중인 Salesforce 데이터 절도 공격
  • Cisco – Cisco.com 사용자 계정에 영향을 미침
  • PornHub – 프리미엄 회원 활동 데이터를 탈취한 후 갈취
  • Match Group – Hinge, Tinder, OkCupid, 그리고 Match의 데이터
  • Vimeo – Anodot 침해로 사용자 데이터가 노출됨
  • Rockstar Games – 도난당한 분석 데이터가 유출됨
  • ADT – 5,500만 명에게 영향을 미침
  • European Commission – 30개 EU 기관의 데이터가 노출됨
  • McGraw‑Hill – 1억 3,500만 계정에 영향을 미침
  • Medtronic – 9백만 건 기록 도난 주장
  • Carnival (크루즈 라인 운영사)
  • 7‑Eleven (편의점 체인)
  • Udemy (온라인 교육 기업)

최근에는 ShinyHunters가 교육 기술 대기업 Instructure를 두 차례 해킹했습니다. 두 번째 공격은 보안 취약점을 이용해 약 330개의 대학 및 대학의 Canvas 로그인 포털을 변조했으며, 이전 침해에서 탈취한 데이터를 몸값을 지불하지 않으면 유출하겠다고 위협했습니다.

관련 사건: MANGO

스페인 패션 소매업체 MANGO는 10월에 고객에게 침해 통지를 보내며, 마케팅 캠페인에 사용된 개인 데이터가 마케팅 벤더가 해킹된 후 유출되었다고 경고했습니다. 랜섬웨어나 갈취 그룹이 이 사건을 주장한 바 없으며, 공격자는 아직 확인되지 않았습니다.

추가 미디어

article image

Mythos가 발견한 99%가 아직 패치되지 않음.

AI가 네 개의 제로데이를 하나의 익스플로잇으로 연결함

렌더러와 OS 샌드박스를 모두 우회한 익스플로잇. 새로운 익스플로잇 물결이 다가오고 있습니다.

Autonomous Validation Summit (5월 12 & 14)에서 자율적이고 컨텍스트가 풍부한 검증이 어떻게 취약점을 찾아내고, 제어가 유지됨을 증명하며, 수정 루프를 마감하는지 확인하세요.

자리를 예약하세요

0 조회
#data breach #Zara #Inditex #cybersecurity #personal data #privacy
원문 보기
Share:
Back to Blog

관련 글

더 보기 »