주식회사 < 캡콤 >은 자칭 'Ragnar Locker'라고 불리는 집단으로부터 랜섬웨어 해킹 공격을 받아 회사가 보유하고 있던 최대 약 35만 건의 개인 정보 유출 가능성을 확인했다고 발표했으며, 사고 경위와 피해 내역 등을 정리한 사과문도 공개했습니다.
캡콤에 따르면 "일본 가정용 게임 고객 상담실" 개인 정보 약 13만 4천 건, "북미 캡콤 스토어" 회원 정보 약 1만 4천 건, "북미 e스포츠 운영 사이트" 회원 정보 약 4천 건, "주주명부" 정보 약 4만 건, "퇴직자 및 가족 정보" 약 2만 8천 건, "입사 지원자 정보" 약 12만 5천 건 등 최대 35만 건의 개인 정보와 회사의 매출정보, 거래처 정보, 영업자료, 개발자료 등이 유출됐을 가능성이 있다고 보고했습니다.
또한 외부 업체를 사용해서 신용 카드 정보의 유출은 없고, 인터넷 게임을 위해 접속한 유저나 홈페이지에 접속한 고객에게는 피해가 확대되지 않았다고 하네요. 아래는 캡콤이 발표한 전문입니다.
해킹으로 인한 개인 정보 유출에 대한 소식과 사과
주식회사 캡콤은 제3자로부터 맞춤형 랜섬웨어의 해킹 공격을 받아 당사 그룹이 보유한 개인정보 유출 발생을 확인했습니다. 또한, 이 공격으로 당사가 보유하고 있는 개인 정보, 기업 정보가 유출되었을 가능성이 있음을 확인하였으며, 아래의 [2. 유출 가능성이 있는 정보]에서 함께 알려드리겠습니다. 덧붙여 현시점에서는 컨텐츠 개발이나 사업 수행에 지장은 없습니다. 고객을 비롯한 많은 관계처에게 불편과 걱정을 끼쳐드린 것을 깊이 사과드립니다.
현재도 조사를 계속하고 있고 향후 새로운 정보가 발견될 가능성이 있습니다만, 현시점에서 대략 확인할 수 있던 사실 관계(2020년 11월 16일 현재 판명분)의 개요는 다음과 같습니다.
■ 유출을 확인한 정보
(1) 개인정보 9건
- 전 직원의 개인정보 5건 (이름・사인 2건, 이름・주소 1건, 여권 정보 2건)
- 직원 개인정보 4건 (이름・인사정보 3건, 이름・사인 1건)
(2) 기타
- 판매 리포트
- 재무 정보
■ 유출 가능성이 있는 정보
(1) 개인정보(고객, 거래처 등) 최대 약 35만건
- 국내(일본) 고객상담실 가정용 게임 서포트 대응 정보(약 13만 4천건) - 이름, 주소, 전화번호, 이메일 주소.
- 북미 Capcom Store 회원 정보 (약 1만 4천건) - 이름, 생년월일, 이메일 주소.
- 북미 e스포츠 운영 사이트 회원 정보(약 4천건) - 성명, 이메일 주소, 성별.
- 주주 명부 정보(약 4만건) - 이름, 주소, 주주 번호, 소유 주식수.
- 퇴직자 및 가족 정보(약 2만 8천건), 입사 지원자 정보(약 12만 5천건) - 이름, 생년월일, 주소, 전화번호, 이메일 주소, 얼굴사진 등.
(2) 개인 정보(사원 및 관계자)
- 인사정보(약 1만 4천명)
(3) 기업정보
- 매출정보, 거래처 정보, 영업자료, 개발자료 등
또한 당사는 인터넷 판매 등의 결제는 모두 외부에서 조달하고 있으므로 신용 카드 정보를 보유하고 있지 않고 신용 카드 정보의 유출은 없습니다. 또한 유출 가능성이 있는 정보의 수는 일부 로그의 상실 등으로 정확히 파악할 수 없기 때문에 현시점에서 알려진 최대수로 표시하고 있습니다.
■ 개인정보의 유출이 확인된 분들과 가능성이 있는 분들에 대한 대응
- (1) 개인정보 및 기업정보의 유출이 확인된 분들에 대한 대응 - 정보 유출이 확인된 분들에게는 개별적으로 연락을 하여 현재 경위·상황을 설명했습니다.
- (2) 개인 정보 유출 가능성이 있는 분들에 대한 대응 - 도난, 유출 가능성이 있는 정보에 대해 계속 조사를 실시하겠습니다.
■ 발각과 대응 경위
- (1) 11월 2일 새벽에 사내 시스템의 접속 장애를 확인. 시스템을 차단하여 피해 상황 파악에 착수했습니다. 이번 공격은 당사를 표적으로 한 랜섬웨어를 이용하여 서버를 파괴하고 암호화하는 것임을 확인했습니다. 'Ragnar Locker'라고 자칭하는 집단으로부터 메세지를 확인하고, 몸값 요구가 판명되어 오사카부 경찰에 통보했습니다.
- 11월 4일에 '무단 액세스에 의한 시스템 장애 발생에 관한 소식'을 발표했습니다.
- 11월 12일에 9건의 개인정보 및 일부의 기업 정보의 유출을 확인했습니다.
- 유출이 확인된 정보 9건과 유출 가능성이 있는 정보의 범위에 대해 조사를 계속했고, 11월 16일 발표했습니다.
- 이번 무단 액세스는 서버 보존 정보의 암호화 및 액세스 로그의 말소를 동반한 것으로, 무단 액세스의 조사, 해석 등에 시간이 걸렸습니다.
- (2) 유럽 GDPR 감독 관청(ICO), 개인 정보 보호 위원회(일본)에 시스템 장애의 발생에 대해 보고하고 있습니다.
- (3) 백신 소프트웨어를 투입하고 의심스러운 통신을 차단하면서 서버를 재구축하였고, 복구한 서버를 기반으로 각 부서가 보존하고 있던 정보의 확인 작업을 실시(진행 중)하고 있습니다.
- (4) 이번 건 장애 시스템의 검증에 대해서는 외부 보안 업체에 검증을 위탁하였습니다. 이 검증 결과에 대해서는 별도로 발표할 예정입니다.
- (5) 또, 대기업 소프트웨어 기업, 대기업 보안 전문 벤더, 사이버 보안에 조예가 깊은 외부 변호사에게 상황을 보고하여 지도, 조언을 얻고 있는 상황입니다.
정보의 유출이 확인된 분・관계처에 연락함과 동시에, 그 외 도난된 가능성이 있는 정보에 대해 계속 조사를 계속하고 있습니다. 이번 무단 액세스는 일부 보도되고 있지만 이른바 '맞춤형 랜섬웨어'에 의한 '표적형 공격'이며, 당사를 표적으로 교묘하게 서버 보존 정보의 암호화나 액세스 로그의 말소를 노린 것입니다. 이에 당사는 무단 액세스의 조사, 해석 등에 시간이 걸렸기에 오늘에서야 보고 드린 것에 대해 사과드립니다. 여러분 앞으로 수상한 우편물이나, 연락이 올 가능성이 있으므로 주의해 주시기 바랍니다.
■ 향후 대응
- (1) 계속해서 일본, 미국의 경찰 당국과의 협력 관계를 유지하고 각국의 개인 정보 보호 기관에 적시 보고를 실시하여 조언을 받는 체제로 갈 것입니다.
- (2) 앞서 말한 바와 같이 대형 보안 벤더 등에도 협력을 의뢰하고, 이번 공격에 의한 장애의 전모 해명·재발 방지를 위해 노력하겠습니다.
- (3) 이미 외부의 보안 전문가가 참여하는 대책 회의를 시작하였습니다만, 향후 외부 전문가에 의한 시스템 보안 고문 조직을 신설하여 재발 방지를 위해 노력하겠습니다.
또한 당사 게임을 플레이하기 위한 인터넷 접속이나 당사 홈페이지 등에 접속한 고객이나 외부 여러분께는 피해가 확대되지는 않습니다. 이번 사건에 의한 당사 그룹의 실적(2021년 3 월기)에 영향은 현시점에서 경미하다고 생각하고 있습니다만, 재차 공개가 필요한 경우에는 별도로 신속하게 알려 드리겠습니다.
여러분께 많은 걱정과 불편을 끼친 점 다시 한번 사과드립니다. 당사는 이번 사태를 무겁게 받아들여 디지털 컨텐츠를 취급하는 기업으로서 다시는 이러한 일이 없도록 한층 더 관리 체제의 강화에 노력하는 동시에, 무단 액세스 등의 범죄 행위에는 엄중하게 대처해 가겠습니다. 아무쪼록 이해와 협조를 부탁드립니다.
