호주 뉴사우스웨일즈주 경찰은 감정평가법인 랜드마크 화이트(Landmark White)의 고객개인정보 및 감정평가 데이터 등을 불법 유출하는 등의 15개의 사이버 공격(cyber attack)을 혐의로 IT 업체 직원(49세)을 기소하였다.

2019년 1월 랜드마크 화이트 법인은 자사의 데이터가 다크웹에 노출된 것을 발견하여 즉시 당국에 보고하고 호주증권거래소에 주식거래 중단을 요청하였다.

주식거래가 재개된 후 2019년 2월 42.5센트에 거래되던 주식은 같은 해 5월 주당 28센트로 급락하였다. 랜드마크 화이트 법인은 고객정보 유출로 인해 7백만 호주 달러의 매출 손실이 발생하였다고 보고 보안 강화를 위해 상당한 비용이 발생될 것으로 예상하고 있다.

2019년 6월 뉴사우스웨일즈주 사이버범죄수사팀 형사들이 해당 사건에 대한 조사를 시작하였고, 개인정보 및 감정평가 데이터 등 170,000건 이상의 정보가 다크웹 및 인터넷에 업로드되었음을 밝혀냈다. 무단 유출은 2017년 9월부터 2019년 5월 사이에 걸쳐 이루어졌다.

사이버범죄수사팀장 고든 아르비냐(Gordon Arbinja)는 “사이버범죄는 사법제도에 대한 도전이며, 업계 및 정부와의 협력을 통해서 이 문제를 해결할 수 있다.”며 "이 사건의 경우 감정평가법인이 경찰과 긴밀하게 협력하여 자칫하면 보고되지 않거나 해결에 어려움을 겪을 수 있었던 건을 훌륭하게 해결할 수 있었던 좋은 예시이다."라고 언급하였다.

랜드마크 화이트 감정평가법인은 성명을 통해 용의자는 회사 직원이 아니라고 밝혔으며, 이후 보안 강화를 위해 ISO27001²⁾ 정보보호 표준과 같은 정책을 실시하고 상당한 투자를 하였다고 밝혔다.

또한 "많은 금융기관은 우리 법인을 감정평가 서비스 제공업체 대상으로 복원해 준 것에 대해 환영한다고 밝혔으며, 우리는 모든 파트너와 지속적으로 협력하여 프로그램이 안전하다는 것을 입증하기 위해 필요한 조치를 취할 것이다."라고 덧붙였다.

한편, 호주국립대학교는 20년에 걸쳐 축적된 데이터 절도와 관련된 사이버 공격에 대하여 세부 조사정보를 공개하였다.

호주국립대학교 부총장 브라이언 슈미트(Brian Schmidt)는 “이는 호주 최초의 사이버 공격에 대한 공개 보고서이며 우리 학교뿐 아니라 잠재적 공격대상이 될 가능성이 있는 여러 조직에 도움이 될만한 자료를 담고 있다.”라고 하였다.

이어 “우리측 조사결과에 따르면 특정 내부직원이 첨부파일을 다운로드하거나 링크를 클릭하지 않더라도 스피어피싱³⁾ 이메일을 활용해 아주 정교한 방법으로 데이터 유출이 발생할 수 있는 것으로 나타났다.”라고 하였다.

그는 호주국립대학교 측에서 아직 정확히 어떤 데이터가 수집되었는지 구체적으로 확인할 수는 없지만, 개인정보가 악용되었다는 사실 또한 발견하지 못했다고도 덧붙였다.

비록 호주국립대학교가 데이터 침해로부터 배워야 할 교훈과 시스템을 더 보호하기 위해 무엇을 해야 하는지를 개략적으로 설명했지만, 슈미트는 이 보고서가 다른 해커들이 또 다른 공격을 감행하기 위한 지침서가 될 수는 없다고 말했다.

이에 대해 그는 “이 보고서가 우리 사회에 충분한 정보를 제공할 수 있도록 투명하게 작성될 것을 요구했으나, 범죄자들이 다른 시스템이나 조직에 손해를 입힐 수 있는 정보를 담지는 않도록 하였다.”라고 말했다.