| 침해 사고 정보 | |
| 일자 | 2017/06/30 |
| 침해 정보 | 개인정보_스피어피싱 (이름, 이메일, 전화번호, 거래건수, 거래량, 거래금액) 개인정보_사전대입공격 (홈페이지 ID, 패스워드) |
| 특징 | 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱 |
| 피해크기 | 3만명 |
| 침해 사고 분석 | |
| 경위 | ① 해커는 빗썸 직원 채용기간 중 A씨에게 스피어피싱 메일 발송 * 스피어피싱: 특정 대상이나 기업을 상대로 정상적인 메일로 가장하여 악성코드를 실행하도록 하는 공격 유형 ② 해당 메일에는 원격제어형 악성코드가 포함되어 있었으며, 이를 실행한 A씨의 PC가 악성코드에 감염됨 ③ 해커는 A씨가 B씨로부터 이메일로 전송받아 저장 중이던 개인정보파일(2017년 회원관리 정책) 등 다수의 파일을 외부로 유출 ④ 해커는 유출한 파일을 이용해 사전대입공격을 시도, 무단 출금을 시도한 것으로 판단됨 * 사전대입공격: 공격자가 미리 준비한 ID/PW를 하나씩 모두 대입하는 공격 유형 |
| 원인 | ① 방통위와 KISA의 현장조사 결과 하기 사항을 소홀 하였으며, 위반한 것으로 결론 - 개인정보처리시스템에 접속한 IP등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 - 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장 한 점 - 백신 소프트웨어 업데이트를 실시하지 않은 점 등 다수 위반 |
| 조치 | ① 유출된 파일과, 무단 출금 사고로 민원을 제시한 사용자의 접속 기록 조사 결과 3,434개 IP에서 약 2백만 번의 사전대입공격을 수행하였으며, 이 중 4,981개 계정은 로그인 성공, 266개 계정은 로그인 후 출금 로그가 확인됨 ② 방통위는 규정 미준수로 인한 취약점이 해킹에 직·간접적으로 악용된 점 해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려해 - 과징금 4,350만원 / 과태료 1,500만원 / 책임자 징계권고 위반행위 중지 및 재발방지대책 수립 시정 명령 / 시정명령 처분사실 공표 등 처분 ③ 사용자 A는 빗썸을 상대로 손해배상 청구하였으나, 빗썸에 민사 보상 책임은 없다 판결 - 사용자 로그인 시 메시지로 로그인 알람이 발생하는데, A씨의 행위인지 해커의 행위인지 불확실 - 추가적으로, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 보는 것이 타당하다는 입장 - A의 정보가 유출된 파일에 포함되어 있을 가능성이 있다 할지라도, 사전대입공격으로 해킹한 4981개의 계정에 A씨의 계정이 있다고 확신할 수 없다 - 빗썸이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 등의 적절한 후속조치를 취하였다. ④ 빗썸은 피해를 입은 사용자에게 1인당 10만원의 보상금 지급 실제 피해를 입은 사용자에게는 전액 보상하겠다고 밝힘 |
| 기타 | - 빗썸은 개인정보 유출 고객들에게 발송한 이메일에도 유출된 사람들의 개인정보가 담긴 액셀문서를 발송한 것으로 알려져 2차피해가 우려됨. 추가적으로, 누구든지 열람 가능한 페이스트빈에 노출되어있었음. - 한글워드 EPS 취약점을 이용해 악성코드 삽입 EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일 EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공. 악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성. - 빗썸이 위반한 사항 ① 개인정보 보호조치 (접근통제) 법 §28①제2호, 시행령§15②제2호, 고시 §4⑤ - 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀 - 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시 - ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함. ② 개인정보 보호조치 (암호화) 법 §28①제4호, 시행령§15④제4호, 고시 §6④ - 개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장 ③ 개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호, 시행령§15⑤, 고시 §7 - 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시 ④ 개인정보 보호조치 (기타 보호조치) 법 §28①제6호, 시행령§15, 고시 §9② - 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음 - 시스템 담당자가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀 |
- 참고
방송통신위원회 누리집 > 알림마당 > 보도자료 상세보기(가상통화 거래사이트 <빗썸> 개인정보
□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조
kcc.go.kr
'침해사고 > 개인정보' 카테고리의 다른 글
| 서울대학교병원 개인정보 유출 (0) | 2023.05.10 |
|---|---|
| 인터파크 개인정보 유출 (0) | 2023.04.16 |
| 한국남부발전 개인정보 유출 (0) | 2022.08.31 |
| 페이스북 개인정보 유출 (0) | 2022.07.26 |
| 카드 3사 개인정보 유출 (0) | 2022.07.16 |