개인정보 유출 사고

1. 스티비 서버 해킹으로 개인정보 유출

- 뉴스레터 발송용으로 활용하는 외부 마케팅 솔루션이 해킹되어 외교부 사칭 스팸 메일이 발송
> 유포된 메일에 대한 기술적 분석 결과 악성 기능이 없는 것으로 파악

 

- 사용자 이름, 이메일 주소, 암호화된 비밀번호 등과 일부 고객 신용정보 유출
> 결제 오류 로그에 민감한 신용정보가 함께 저장 (서버 해킹으로 내부 로그가 함께 유출)
> 일부 회원 계정이 외부 공격자에 의해 로그인된 정황 발견 (비밀번호는 단방향 암호화되어 있어 유출 가능성 낮음)

※ 로그 관리 방식의 미비 : 로그 접근 권한의 제한 부족과 장기간 로그 보관이 보안상 취약 요소로 작용

 

- 사후 보안 강화 대책
> 취약점 보완 및 시스템 내 모든 개인정보 완전 암호화
> 로그인 시 2단계 인증 도입 및 이상 로그인 감지 시스템 강화
> 해외 IP 차단 및 로그 보관 정책 재정비
> 금융기관과 협력해 이상 금융 거래 감시 및 실시간 모니터링 강화
> 보안 조직 확대 및 보안 전문가 영입
> 개인정보 수집 및 보관 정책 변경 (불필요 정보 즉시 파기, 최소한 정보 저장)

2. KERIS 개인정보 유출

- AI디지털교과서 수업설계안 개발 과정에 참여한 교원들의 개인정보가 유출
> 개발에 참여 중인 선생님들이 상호 피드백 그룹 정보 조회를 위한 엑셀파일을 구글 드라이브에 탑재
> 엑셀파일은 개인정보 보호를 위해 암호 설정 및 선생님들은 수신 문자의 그룹 코드를 입력해 본인의 피드백 그룹 정보만 확인하도록 설계
> 구글 드라이브에서 구글 스프레드 시트를 통해 열람 또는 다운로드할 경우 암호 설정이 해제되는 현상이 발생하여 개인정보 유출

 

- 개발에 참여 중인 선생님 957명의 이름, 소속학교, 지역(시, 도), 휴대전화번호, 이메일 유출
> 구글 드라이브에서 엑셀 파일 삭제 및 선생님들에게 파일 삭제 요청 안내

 

- 휴먼 에러 가능성
> 암호화 엑셀 파일을 구글 드라이브에 올린 후 구글 스프레드 시트로 열람할 경우 비밀번호 입력 기능이 유지됨
> 구글 스프레드시트에서 직접 파일을 작성하고 특정 사용자에게 링크 공유와 잠김 기능을 사용한 경우 설정 오류일 것
> 또는 엑셀 파일 자체에 비밀번호 설정을 잘못했을 가능성
> 내부 개인정보 문서를 외부 시스템을 통해 공유하는 방법 자체의 잘못

3. 한예종 재학생·졸업생 개인정보 유출

- 해킹 공격으로 누리 시스템에 있는 재학생·졸업생 1만 8,000여명의 개인정보 유출
> 유출 항목 : 학번, 한글·한문·영문성명, 생년월일, 성별, 학적상태, 학년, 과정, 소속, 학과,  전공, 입학일, 수험번호, 일반휴학학기, 휴대전화번호, 자택전화번호, 주소, 예금주, 은행명, 계좌번호, 이메일 등
> 유출 의심 항목 : 보호자 정보, 장학금, 등록금, 성적

4. 한국정보보호산업협회 개인정보 유출

- 뉴스레터를 발송하는 과정에서 수신인 메일 주소 10,592건이 삽입되어 발송
> 뉴스레터 구독자들에게 메일 삭제 요청
> 악용 의심 사례는 발생하지 않음

 

- 대응
> 메일 전송 서버 강제 중단
> 메일 송부 프로그램 교체 및 발송 확인 절차 강화

5. GS리테일 개인정보 유출

- 크리덴셜 스터핑 공격을 받아 개인정보 유출
> 유출 항목 : 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일

 

- 공격 IP 및 공격 패턴 차단, 계정 잠금 처리, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄 조치
> 2차 피해 방지를 위해 비밀번호 변경 권고