2025.05.01 목요일
검색
'크리덴셜 스터핑' 검색결과
기간검색
-
~
검색영역
검색어
-
KT알파 '기프티쇼' 해킹에 과징금… 9만8000 계정 뚫려 [이코노믹데일리] 커머스 플랫폼 KT알파가 운영하는 모바일 상품권 판매 사이트 '기프티쇼'에서 발생한 대규모 해킹 사고로 개인정보보호위원회로부터 과징금 491만원과 과태료 690만원, 총 1181만원의 제재 처분을 받았다. 외부에서 유출된 아이디와 비밀번호를 무차별 대입하는 '크리덴셜 스터핑' 공격으로 약 9만8000명의 회원 계정이 유출됐으며 이 중 51명은 포인트 도난 등 2차 피해까지 입은 것으로 조사됐다. 개인정보보호위원회는 지난 9일 제8회 전체회의를 열고 이같이 결정했다고 10일 밝혔다. 개인정보위 조사 결과, 해커는 2023년 1월 28일부터 2월 6일까지 4305개의 서로 다른 인터넷 주소(IP)를 이용해 기프티쇼 로그인 페이지에 총 540만 번 이상의 로그인을 시도했다. 이는 다른 경로로 사전에 확보한 다수의 이용자 계정 정보를 무작위로 대입해 로그인을 시도하는 전형적인 크리덴셜 스터핑 공격 방식이다. 이 공격을 통해 약 9만8000개 회원 계정으로 실제 로그인에 성공한 것으로 파악됐다. 로그인에 성공한 계정 중 51명의 경우 해커가 개인정보가 포함된 웹페이지에 접근해 회원 정보를 열람했을 뿐만 아니라 해당 계정에 적립된 포인트를 무단으로 사용하는 2차 피해까지 발생시켰다. 다만 KT알파가 사전에 다수의 웹페이지에 개인정보 마스킹(중요 정보 가림 처리) 조치를 적용해 놓은 덕분에 실제 개인정보가 외부로 노출된 피해는 51명 수준에서 그쳤다고 개인정보위는 설명했다. 개인정보위는 KT알파가 비정상적인 대량 접속 시도를 탐지하고 차단하는 침입 탐지 시스템 운영 등 안전조치 의무를 소홀히 했다고 판단했다. 또한 개인정보 유출 사실을 인지하고도 정당한 사유 없이 법정 기한인 24시간을 넘겨 이용자에게 통지한 점도 법 위반 사항으로 지적했다. 개인정보위는 인가받은 자만 시스템에 접속하도록 하는 등 접근 통제가 필수적이라고 강조했다. 또한 크리덴셜 스터핑 공격 예방을 위한 침입 탐지·차단 정책과 더불어 웹페이지 마스킹 조치가 개인정보 유출 피해를 줄이는 데 큰 도움이 될 수 있다고 덧붙였다. 한편 이날 전체회의에서는 온라인 강의 업체 클래스유 역시 데이터베이스 관리자 계정 관리 소홀로 이용자 약 160만 명의 개인정보를 유출해 과징금 5360만원과 과태료 720만원을 부과받았다.2025-04-10 14:37:30
-
지난해 개인정보 유출 56%는 '해킹'…공공기관 유출 1년 새 2배 '껑충' [이코노믹데일리] 지난해 개인정보 유출에 대한 신고가 300건이 넘게 접수된 가운데 과반이 해킹에 의한 유출인 것으로 드러났다. 개인정보보호위원회와 한국인터넷진흥원(KISA)가 20일 발간한 보고서 '2024년 개인정보 유출 신고 동향 및 예방 방법'에 따르면 지난해 양 기관에 접수된 개인정보 유출 신고는 총 307건으로 전년(318건)과 유사했다. 유출 원인은 해킹이 171건으로 비중 56%를 차지했고, 업무 과실(91건)과 시스템 오류(23건)가 뒤를 이었다. 특히 업무 과실과 시스템 오류는 전년 대비 줄어든 반면, 해킹으로 인한 피해는 151건에서 171건까지 증가한 것으로 나타났다. 비중 역시 48%에서 56%로 늘어났다. 또한 해킹 사고의 유형은 관리자 페이지 비정상 접속이 23건으로 가장 많았다. 이어 △에스큐엘(SQL) 인젝션(17건) △악성 코드(13건) △크리덴셜 스터핑(9건) 순으로 집계됐다. 이 중 SQL 인젝션은 웹페이지의 보안 허점을 악용해 악의적 해킹 코드인 SQL문을 주입하고 데이터베이스를 장악한 뒤 개인정보를 탈취하는 수법이며, 크리덴셜 스터핑은 다른 사이트에서 수집한 사용자의 계정과 비밀번호를 성공할 때까지 입력해 로그인을 시도하는 것을 말한다. 이외에도 원인 미확인 사고가 전체의 절반 이상인 87건이나 발생했다. 공공기관의 유출 신고는 전체 중 34%인 104건을 기록했다. 이는 2023년 41건에서 두 배 이상 증가한 수치다. 개인정보위는 "2023년 9월 개인정보보호법 개정으로 인해 신고 기준이 상향된 것이 주요 원인"이라고 설명했다. 개정 이후 공공 기관은 민감·고유식별정보가 단 1건이라도 유출되면 신고해야 한다. 세부 기관별로는 △중앙 행정 기관 및 지방자치단체(42%) △대학 및 교육청(41%) △공공기관 및 특수법인(17%) 순으로 조사됐다. 개인정보위는 크리덴셜 스터핑으로 인한 개인정보 유출을 방지하기 위해 아이디와 비밀번호를 반복해 대입하는 행위를 탐지·차단할 보호조치 마련을 당부했다. 또한 웹 방화벽(WAF)을 설치해 SQL 인젝션을 탐지·차단하는 정책도 설정해야 한다고 강조했다. 아울러 업무 과실로 인한 개인정보 유출을 방지하기 위한 방안도 안내했다. 먼저 게시판과 홈페이지 등 열린 공간에 자료를 올릴 때 주민등록번호와 같은 민감한 개인정보가 포함돼 있는지 확인해야 한다. 또한 메일을 발송할 때 개인별 발송을 권장하고 개인정보가 포함된 업무용 기기를 비밀번호 설정 및 파일 암호화를 통해 보호해야 한다. 개인정보위 관계자는 "양 기관은 앞으로 공공 기관과 민간 기업의 개인정보 유출에 대한 경각심을 제고하고 개인정보 보호 체계 개선을 위해 지원을 아끼지 않을 것"이라고 말했다.2025-03-20 16:36:24
-
인크루트, 또다시 개인정보 유출 의혹…개인정보위 조사 착수 [이코노믹데일리] HR테크 기업 인크루트에서 또다시 개인정보 유출 의혹이 불거지며 개인정보보호위원회(개인정보위)가 조사에 착수했다. 10일 정부 당국에 따르면 개인정보위는 인크루트로부터 개인정보 유출 신고를 접수받고 현재 사실 관계를 확인한 뒤 본격적인 조사에 돌입할 계획이라고 밝혔다. 개인정보위는 이번 사고와 관련해 정보 유출 규모와 구체적인 경위, 인크루트의 개인정보보호법 준수 여부 등을 면밀히 조사할 방침이다. 인크루트는 전날 오전 회원들에게 ‘개인정보 유출 의심에 따른 안내 및 사과 말씀’이라는 제목의 이메일을 발송하여 개인정보 유출 의혹을 공식화했다. 인크루트는 이메일에서 “외부 공격에 의해 일부 고객 정보가 유출된 것으로 의심할 만한 정황이 확인되었다”고 밝히며 회원들에게 사과의 뜻을 전했다. 인크루트 측은 유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등을 언급했다. 다만 “개인별로 유출된 정보의 항목에는 차이가 있을 수 있다”고 덧붙여 정확한 유출 범위는 아직 조사 중임을 시사했다. 사고 발생 후 인크루트는 즉시 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화 등 긴급 조치를 취했다고 밝혔다. 또한 “고객님의 개인정보 보호 및 보안 강화를 최우선 과제로 삼고 안전한 서비스 제공을 위해 최선을 다하겠다”고 강조했다. 한편 인크루트는 불과 1년 전인 2023년에도 회원 개인정보 3만5076건을 유출한 사실이 드러나 개인정보위로부터 과징금 7060만원과 과태료 360만원을 부과받은 바 있다. 당시 개인정보위 조사 결과 인크루트는 2020년 9월 해커의 ‘크리덴셜 스터핑’ 공격을 받았음에도 불구하고 대규모 무작위 로그인 시도를 차단하기 위한 침입 탐지 및 차단 정책을 제대로 실행하지 않은 것으로 밝혀졌다. 크리덴셜 스터핑이란 탈취한 아이디와 비밀번호를 무작위로 대입하여 계정을 탈취하는 공격 방식이다. 뿐만 아니라 인크루트는 휴면 계정 해제 시 추가 인증 절차 없이 아이디와 비밀번호만으로 해제가 가능하도록 설정하는 등 접근 통제 조치 역시 소홀히 한 것으로 드러났다. 잇따른 개인정보 유출 사고로 인해 인크루트의 정보보안 시스템에 대한 신뢰도 하락은 불가피할 것으로 보인다. 개인정보위의 이번 조사가 인크루트의 재발 방지 대책 마련 및 정보보호 시스템 강화에 어떠한 영향을 미칠지 주목된다.2025-03-10 18:07:12
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 흥국에 드리운 복귀의 망령…금융 농락 이호진 전 회장에게 경영을 또 맡기겠다고?](https://image.ajunews.com/content/image/2025/04/25/20250425144937563130_518_323.jpg)