증권사 및 대부중계 플랫폼 개인정보 유출

침해 사고 정보
일자	2022/12 ~ 2023/06
침해 정보	이름, 전화번호, 계좌정보 등 개인정보
특징	서버 취약점 악용
피해크기	개인정보 약 106만건
침해 사고 분석
경위	① 브로커 B씨는 해커 A씨에게 해킹 및 개인정보 탈취 의뢰 > A씨는 컴퓨터 프로그램 관련 외주업체를 운영 ② A씨는 자체 제작한 해킹 프로그램을 이용해 9개 사이트 해킹 및 개인정보 유출 > 증권사, 대부중개 플랫폼, 주식교육방송, 가상화폐사이트 등 9개 > 유출한 개인정보를 B씨에게 제공 ③ J씨는 A씨에게 가상화폐 사이트 해킹 의뢰 및 개인정보 구매 ④ 해커 A씨는 K씨, L씨에게 개인정보 구매 ⑤ 대부업자 H씨, I씨는 B씨에게 해킹 및 개인정보 구매 의뢰 ⑥ B씨는 H씨, I씨에게 개인정보 판매 > 대부업자들은 텔레그램을 통해 대출 신청자 정보를 실시간 판매해 부당이득 편취 (1개당 600~3,000원 판매, 약 3,000만원) ⑦ 비상장주식 판매 사기를 위해 C씨, D씨는 B씨에게 해킹 및 개인정보 구매 의뢰 ⑧ B씨는 C씨, D씨에게 개인정보 판매 > 비상장주식 판매 조직원 E씨, F씨, G씨에게 개인정보 전달 > 투자 자문회사를 사칭하며 전화나 문자로 비상장 주식을 판매해 부당이득 편취 (피해자 36명, 약 6억원) ⑨ 해커, 해킹 의뢰자, 사기조직, 개인정보 유통업자 등 12명 검거, 4명 구속
원인	① 웹사이트의 보안 취약점 및 개인정보 관리의 문제점 악용
조치	① 경찰 > 대부중개 플랫폼 업체의 개인정보가 유출됐다는 첩보를 입수해 수사 시작 > 원격 접속 IP 다수 확보, 서버 및 자료 비교분석으로 해커를 특정 > 압수수색으로 A씨가 제작한 해킹 프로그램 및 탈취한 개인정보 파일, 대포폰 26대, 노트북 8대, 현금 2,166만원 등을 현장에서 압수 > 전자정보 분석으로 개인정보가 탈취된 업체와 공범을 특정해 이들이 벌어들인 범죄수익에 대한 1억원을 추징보전 신청 > 최신 해킹 기술에 대응하는 사이버수사 역량을 강화할 것 > 한국인터넷진흥원(KISA) 등 유관기관과 협업을 통해 피해 예방 및 불법행위 엄중 처벌 예정 > 수사 과정에서 확인된 문제점 등을 해당 업체에 통보
기타	① 적용 법률 > 개인정보 보호법 제70조 제2호 2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자 > 개인정보 보호법 제71조 제2호 2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 > 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제71조 제1항 제9호·제11호 ①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 9. 제48조 제1항을 위반하여 정보통신망에 침입한 자 10. 제48조 제3항을 위반하여 정보통신망에 장애가 발생하게 한 자 11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자 > 형법 제347조 제1항(사기) 사람을 기망하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년이하의 징역 또는 2천만원이하의 벌금에 처한다. ② 개인정보를 관리하는 업체에서는 보안이 취약한 사이트는 언제든지 범행 대상이 될 수 있음 > 웹 방화벽 활용, 취약점 점검, 최신 업데이트, 불필요한 개인정보는 삭제 등의 조치 필요