캐나디안 타이어(CanadianTire)와 산하 브랜드의 온라인 고객 정보가 외부 공격으로 유출되는 사고가 발생했다.

 

모회사 캐나디안 타이어 코퍼레이션(CTC)은 10월 2일 전자상거래 데이터베이스에서 무단 접근이 발견됐으며, 일부 고객의 개인정보가 노출됐다고 밝혔다.

이번 사건은 캐나디안 타이어, 스포츠첵(SportChek), 마크스/레퀴퍼(Mark’s/ L’Équipeur), 파티시티(Party City) 등 자회사 전자상거래 계정 보유 고객에게 영향을 미쳤다.

 

유출된 정보 및 피해 범위

CTC에 따르면 유출된 데이터에는 고객의 이름, 주소, 이메일, 생년월일 등이 포함되어 있다.

또한 일부 계정의 경우 암호화된 비밀번호와 잘린(불완전한) 신용카드 번호가 포함됐다.

CTC는 “이러한 정보는 계정 접근이나 거래에 사용할 수 없는 수준”이라고 강조했다.

 

회사 측은 약 15만 개 미만의 계정에서 생년월일 정보가 노출되었다고 밝혔으며, 해당 고객에게는 개별 통보와 함께 무료 신용 모니터링 서비스를 제공할 예정이다.

 

대응 및 조치

CTC는 “문제는 전자상거래 데이터베이스에 한정됐으며, 캐나디안 타이어 뱅크 계좌나 트라이앵글 리워드(로열티) 데이터는 안전하다”고 밝혔다.

현재 모든 온라인 거래 시스템은 정상적으로 운영 중이다.

 

회사는 캐나다 개인정보보호위원회(OIPC) 등 관계 당국에 사건을 보고했으며, 보안 강화를 위한 조치를 진행하고 있다고 덧붙였다.

 

고객이 취해야 할 조치

CTC는 피해 고객에게 TransUnion을 통해 이메일 알림을 발송할 예정이다.

현재 즉각적인 비밀번호 변경은 필요하지 않지만, 고유하고 강력한 비밀번호 사용과 다중 인증(MFA) 활성화를 권장했다.

 

또한, CTC는 “유출된 데이터에 전체 신용카드 번호나 CVV는 포함되지 않았다”며 신용카드 교체는 필요하지 않다고 설명했다.

일부 계좌에 저장된 정보는 “매장 영수증에 인쇄되는 수준의 부분 번호에 불과하다”고 덧붙였다.

 

잇따르는 캐나다 기업의 데이터 유출

이번 사건은 최근 몇 달간 이어진 캐나다 대기업의 보안 사고 중 하나이다.

8월에는 웨스트젯(WestJet)이 사이버 공격으로 여권 정보를 포함한 승객 데이터가 유출되었고, WealthSimple 역시 유사한 사건으로 집단 소송에 직면했다.

 

 

*블로그TO의 글을 번역,편집한 것입니다.