2025.05.02 금요일
검색
'침입 탐지' 검색결과
기간검색
-
~
검색영역
검색어
-
KT알파 '기프티쇼' 해킹에 과징금… 9만8000 계정 뚫려 [이코노믹데일리] 커머스 플랫폼 KT알파가 운영하는 모바일 상품권 판매 사이트 '기프티쇼'에서 발생한 대규모 해킹 사고로 개인정보보호위원회로부터 과징금 491만원과 과태료 690만원, 총 1181만원의 제재 처분을 받았다. 외부에서 유출된 아이디와 비밀번호를 무차별 대입하는 '크리덴셜 스터핑' 공격으로 약 9만8000명의 회원 계정이 유출됐으며 이 중 51명은 포인트 도난 등 2차 피해까지 입은 것으로 조사됐다. 개인정보보호위원회는 지난 9일 제8회 전체회의를 열고 이같이 결정했다고 10일 밝혔다. 개인정보위 조사 결과, 해커는 2023년 1월 28일부터 2월 6일까지 4305개의 서로 다른 인터넷 주소(IP)를 이용해 기프티쇼 로그인 페이지에 총 540만 번 이상의 로그인을 시도했다. 이는 다른 경로로 사전에 확보한 다수의 이용자 계정 정보를 무작위로 대입해 로그인을 시도하는 전형적인 크리덴셜 스터핑 공격 방식이다. 이 공격을 통해 약 9만8000개 회원 계정으로 실제 로그인에 성공한 것으로 파악됐다. 로그인에 성공한 계정 중 51명의 경우 해커가 개인정보가 포함된 웹페이지에 접근해 회원 정보를 열람했을 뿐만 아니라 해당 계정에 적립된 포인트를 무단으로 사용하는 2차 피해까지 발생시켰다. 다만 KT알파가 사전에 다수의 웹페이지에 개인정보 마스킹(중요 정보 가림 처리) 조치를 적용해 놓은 덕분에 실제 개인정보가 외부로 노출된 피해는 51명 수준에서 그쳤다고 개인정보위는 설명했다. 개인정보위는 KT알파가 비정상적인 대량 접속 시도를 탐지하고 차단하는 침입 탐지 시스템 운영 등 안전조치 의무를 소홀히 했다고 판단했다. 또한 개인정보 유출 사실을 인지하고도 정당한 사유 없이 법정 기한인 24시간을 넘겨 이용자에게 통지한 점도 법 위반 사항으로 지적했다. 개인정보위는 인가받은 자만 시스템에 접속하도록 하는 등 접근 통제가 필수적이라고 강조했다. 또한 크리덴셜 스터핑 공격 예방을 위한 침입 탐지·차단 정책과 더불어 웹페이지 마스킹 조치가 개인정보 유출 피해를 줄이는 데 큰 도움이 될 수 있다고 덧붙였다. 한편 이날 전체회의에서는 온라인 강의 업체 클래스유 역시 데이터베이스 관리자 계정 관리 소홀로 이용자 약 160만 명의 개인정보를 유출해 과징금 5360만원과 과태료 720만원을 부과받았다.2025-04-10 14:37:30
-
인크루트, 또다시 개인정보 유출 의혹…개인정보위 조사 착수 [이코노믹데일리] HR테크 기업 인크루트에서 또다시 개인정보 유출 의혹이 불거지며 개인정보보호위원회(개인정보위)가 조사에 착수했다. 10일 정부 당국에 따르면 개인정보위는 인크루트로부터 개인정보 유출 신고를 접수받고 현재 사실 관계를 확인한 뒤 본격적인 조사에 돌입할 계획이라고 밝혔다. 개인정보위는 이번 사고와 관련해 정보 유출 규모와 구체적인 경위, 인크루트의 개인정보보호법 준수 여부 등을 면밀히 조사할 방침이다. 인크루트는 전날 오전 회원들에게 ‘개인정보 유출 의심에 따른 안내 및 사과 말씀’이라는 제목의 이메일을 발송하여 개인정보 유출 의혹을 공식화했다. 인크루트는 이메일에서 “외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심할 만한 정황이 확인되었다”고 밝히며 회원들에게 사과의 뜻을 전했다. 인크루트 측은 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등을 언급했다. 다만 “개인별로 유출된 정보의 항목에는 차이가 있을 수 있다”고 덧붙여 정확한 유출 범위는 아직 조사 중임을 시사했다. 사고 발생 후 인크루트는 즉시 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등 긴급 조치를 취했다고 밝혔다. 또한 “고객님의 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 안전한 서비스 제공을 위해 최선을 다하겠다”고 강조했다. 한편 인크루트는 불과 1년 전인 2023년에도 회원 개인정보 3만5076건을 유출한 사실이 드러나 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 당시 개인정보위 조사 결과 인크루트는 2020년 9월 해커의 ‘크리덴셜 스터핑’ 공격을 받았음에도 불구하고 대규모 무작위 로그인 시도를 차단하기 위한 침입 탐지 및 차단 정책을 제대로 실행하지 않은 것으로 밝혀졌다. 크리덴셜 스터핑이란 탈취한 아이디와 비밀번호를 무작위로 대입하여 계정을 탈취하는 공격 방식이다. 뿐만 아니라 인크루트는 휴면 계정 해제 시 추가 인증 절차 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치 역시 소홀히 한 것으로 드러났다. 잇따른 개인정보 유출 사고로 인해 인크루트의 정보보안 시스템에 대한 신뢰도 하락은 불가피할 것으로 보인다. 개인정보위의 이번 조사가 인크루트의 재발 방지 대책 마련 및 정보보호 시스템 강화에 어떠한 영향을 미칠지 주목된다.2025-03-10 18:07:12
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 흥국에 드리운 복귀의 망령…금융 농락 이호진 전 회장에게 경영을 또 맡기겠다고?](https://image.ajunews.com/content/image/2025/04/25/20250425144937563130_518_323.jpg)