1. 국내
- 온라인 강의 플랫폼 클래스유, 개인정보 유출
> 암호화 등 보안조치 미흡으로 100만명의 회원정보가 해킹포럼에 유출
> 유출된 개인정보는 닉네임, 이름, 전화번호, 이메일(일부 암호화)이며, 금융정보는 포함되지 않은 것으로 확인
> 앞으로는 회원들의 정보를 모두 암호화하여 보관할 예정
- 전북대 통합정보시스템 해킹으로 32만여명의 개인정보 유출
> 재학생, 졸업생, 평생교육원 회원 등 총 32만명 이상의 개인정보 유출
> 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등을 포함해 재학생·졸업생은 74개 항목, 평생교육원 회원은 29개 항목이 유출
> 인지 직후 공격 IP, 불법 접속 경로 차단 및 취약점 보완 조치와 철저한 재발방지 대책 마련 약속
- 공군 창의·혁신 아이디어 공모 해커톤 참가자 개인정보 유출
> 공군에서 운용 중인 인터넷 공군 해커톤 평가체계 홈페이지에서 관리되고 있는 고객 약 450명의 개인정보가 유출
> 유출된 정보는 2022년 수상자 명단, 2024년 접수현황 파일로, 해당 파일에 신분, 이름, 생년월일, 소속, 전화번호, 메일주소가 포함
> 유출 사실 인지 후 추가 피해 방지 및 예방 조치 완료
- 선문대학교, 위탁업체 실수로 학생 개인정보 유출
> 일부 홈페이지의 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 학생 개인정보 유출
> 시스템 업데이트 과정에서 기술적 문제로인해 로그인 없이 재학생 정보를 검색할 수 있었음
> 9700여명의 이름 일부와 학년, 학과, 전화번호 유출
> 피해 학생에게 사실 안내와 개보위 신고 및 긴급회의 진행(사건 발생 경위, 데이터 관리 차원에서 기술적 오류 여부, 사후 관리 계획 등)
2. 해외
- 아틀라시안의 작업 관리도구 트렐로에서 약 1,500만명의 사용자 개인정보 유출
> API 취약점을 악용한 해커의 공격으로 발생
> 공개된 API 앤드포인트 악용->이메일 주소 목록 활용->데이터 조합->데이터 유출 및 판매 단계를 걸쳐 진행
> 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근 차단 조치 및 API 사용을 지속 모니터링해 필요한 조치를 취할 것이라 발표
| 구분 | 설명 |
| 공개된 API 앤드포인트 악용 | - 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 서비스 제공 - API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계 - 누구든지 API를 호출해 공개된 정보를 검색할 수 있음 |
| 이메일 주소 목록 활용 | - 해커는 다양한 소스에서 수집한 5억개의 이메일 목록을 준비 - 해당 이메일 주소를 API에 입력해 이메일이 트렐로 계정과 연결돼 있는지 확인 - API 호출 결과 각 메일 주소와 연결된 계정 정보가 반환 |
| 데이터 조합 | - API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함 - 해당 정보를 수집 및 각 이메일 주소와 조합해 1,500만개 이상의 사용자 프로필 생성 |
| 데이터 유출 및 판매 단계 | 생성된 사용자 프로필 정보를 다크웹에 게시 |
- 사상 최대 규모의 개인정보 유출 사건 발생
> 미국 거주자의 민감한 개인정보 담긴 약 27억 건의 데이터가 암호화되지 않은채 해킹 포럼에 유출
> 개인정보를 수집·판매하는 업체인 National Public Data에서 발생
> 유출된 정보는 이름, SSN(사회보장번호), 주소지, 일부 별칭 정보가 담긴 두 개의 텍스트 파일로, 총 277GB
> 유출된 데이터 중 많은 데이터가 오래된 백업에서 가져온 것으로 보임
> 피해 최소화를 위해 신용 보고서 모니터링, 신용 동결 고려 등 즉각 조치를 권고
- 텐센트 사용자 14억 명의 개인정보 유출
> 텐센트 고객 14억 명의 이메일, 전화번호, QQ용 ID 등 유출
> 정보의 출처는 확인되지 않으나, 24년 1월 MOAB(Mother of All Breaches)일 것으로 판단
> MOAB는 4000건이 넘는 침해 사고에서부터 수집된 데이터를 저장한 DB로, 약 260억 건의 기록을 포함
> MOAB에 15억 건의 텐센트 계정이 포함되어 있던것이 확인된바 있음
3. 공통
- IP 카메라 해킹으로 사생활 영상 180건 유출
> 2017년부터 최근까지 촬영된 것으로 보이는 IP 카메라 영상 약 180건 확인
> 유출 영상은 하나당 10~15달러에 거래되나, 피해자는 영상 유출 사실조차 인지하지 못하는 상황
> 제품을 사용하지 않을 경우 전원을 꺼두거나 렌즈 가리기, 펌웨어 최신 업데이트 등 보안 조치 필요
'침해사고 > 개인정보' 카테고리의 다른 글
| 카카오페이 개인신용정보 유출 (0) | 2024.08.22 |
|---|---|
| 증권사 및 대부중계 플랫폼 개인정보 유출 (0) | 2023.09.27 |
| 유안타증권 개인정보 유출 (0) | 2023.07.21 |
| 해병대 개인정보 유출 (1) | 2023.06.16 |
| 서울대학교병원 개인정보 유출 (0) | 2023.05.10 |