Merkur 사용자 정보 유출… 보안에 대한 우려 재점화 뉴스

텔레그램

윤리 해커 릴리스 윗만, 보안 허점 폭로

◾ 80만 명 이상 정보 노출

  • 독일의 소프트웨어 엔지니어이자 윤리 해커인 **릴리스 윗만(Lilith Wittmann)**은 Merkur 그룹의 Slotmagie, Crazybuzzer, Merkurbets 사이트에서 심각한 보안 취약점을 발견해 이를 공개했습니다.
  • GraphQL 쿼리를 통해 사용자의 은행 정보, 회원 가입 정보 등 민감한 데이터를 조회할 수 있었다고 밝혔습니다.
  • 독일 뉴스사이트 Heise는 유출된 데이터가 80만 명 이상의 사용자에 해당한다고 보도했습니다.

🛡️ 공급업체와 규제 당국의 대응

◾ 공급업체 The Mill Adventure의 입장

  • 영향을 받은 몰타 기반 플랫폼 업체 The Mill Adventure는 “전례 없는 사건”이었다며, 즉각적인 대응 조치를 취했고, **사이버 보안 전문가들과 협력해 보안 강화를 진행했다”고 밝혔습니다.
  • “향후에도 최고의 보안 기준을 유지해 사용자 데이터의 안전을 보장하겠다”고 덧붙였습니다.

◾ 독일 규제 당국 GGL의 공개 경고

  • **GGL(독일 도박 규제청)**은 The Mill Adventure를 포함해 Cashpoint Malta, Solis Ortus Service 등 3개 업체를 공개 경고 리스트에 올렸습니다.
  • 이들은 연 1회 실시해야 할 **침투 테스트(pentest)**를 수행하지 않아, www.slotmagie.de 도메인에서 보안이 취약했던 것으로 확인됐습니다.

◾ 유출된 데이터의 범위

  • 유출된 데이터에는 사용자 ID, 닉네임, 성별, 자가차단(LUGAS) 등록 시간, 최근 로그인 시간, 결제 내역 및 한도 기록, 결제 프로필 등이 포함되었습니다.
  • GGL은 공급업체들에게 6월까지 보완 조치를 마치도록 요구했으며, 현재는 “위반 사항이 해결되었다”고 밝혔습니다.
  • 그러나 보상 여부나 향후 제재 조치에 대한 추가 질문에는 답변을 거부했습니다.

⚠️ 사용자들은 여전히 위험에 노출됐을까?

◾ 면허 정지 가능성도 제기

  • 한 독일 현지 법률 전문가는 iGB에 “규제당국은 면허 정지, 기간 단축, 혹은 면허 완전 취소까지 가능하다”고 밝혔습니다.
  • 특히 GDPR 관련해서는, 유출된 ID로 **GGL에 정보 요청(제15조)**을 하게 되면, 추가적인 데이터 노출이 발생할 수 있습니다.

“만약 Wittmann이나 다른 누군가가 유출된 ID로 GGL에 데이터 요청을 했다면, GGL 자체도 2차 유출 책임을 지게 될 가능성이 큽니다.”

  • 이 전문가는 “아직 아무것도 해결되지 않은 것처럼 보인다”고 지적했습니다.

📉 운영사와 규제당국, 위험을 과소평가했나?

◾ Wittmann의 강경 발언

  • iGB의 질의에는 응답하지 않았지만, Wittmann은 3월 19일 Heise와의 인터뷰에서 **“운영사는 사용자 보안에 신경조차 쓰지 않았다”**고 비판했습니다.
  • 또한 Merkur의 KYC(본인확인) 절차가 약하고 구식이라고 지적했습니다.

◾ Merkur 측 대응

  • Merkur는 Slotmagie 등 자사 사이트 FAQ 페이지를 통해 사건에 대해 공지하며, “개인정보 보호를 매우 중요하게 여기며 업계 표준 수준의 보안 체계를 운영하고 있다”고 밝혔습니다.
  • 하지만 “아무리 보안 조치를 취하더라도, 100% 완전한 시스템은 없다”고 덧붙였습니다.

🔐 도박 산업, 여전히 보안에 취약?

◾ 과거 사례: DraftKings 해킹 사건

  • 2022년 11월, 조셉 개리슨이라는 해커가 크리덴셜 스터핑(Credential Stuffing) 기법으로 DraftKings 사용자 약 60,000명의 계정에 침입해 총 1,600명에게서 60만 달러를 탈취한 사건이 있었습니다.
  • 그는 이후 징역 18개월형을 선고받았습니다.
  • 이 사건 이후 미국 규제당국은 업계 보안 표준 강화를 논의하게 되었습니다.

💬 사이버 보안 전문가는 뭐라고 말할까?

  • 게임 산업 사이버 보안 전문가에 따르면, “금융 업계(핀테크)에 비해 보안 투자가 부족”하며, 이는 “마진 압박이 심한 산업 구조 때문”이라고 분석했습니다.
  • 특히 스타트업은 비용과 리소스 한계로 인해 “일정 수준의 리스크를 감수할 수밖에 없다”고 지적했습니다.

“다크웹이나 텔레그램에서 자격 증명 도용 사례가 계속 발견되고 있으며, 이는 결코 고립된 사건이 아니다.”

  • 하지만 보안 투자가 점차 늘고 있다는 긍정적인 신호도 전했습니다.

바카라 사이트 카지노 사이트 슬롯 사이트 추천 메이저 사이트 TOP10 바카라나라 l  문의하기