침해 사고 정보
일자 2018.04~ 현재
침해 정보 카카오페이 계정 ID, 휴대폰 번호, 이메일, 가입 내여, 거래 내역(잔고, 충전, 출금, 결제 금액 등)
※ 기타 내용 참고
특징 제휴 업무 처리 간 불필요 정보 및 고객 동의 없이 제공
피해크기 - 18.04부터 현재까지 매일 1회, 총 542여건 (누적 4,045만명)
- 19.11부터 현재까지 해외결제 이용시마다 총 5.5억건
침해 사고 분석
경위 - 금감원, 24.05~07까지 카카오페이 해외결제부문에 대한 현장 검사 실시 결과 발표 
> 카카오페이가 고객의 동의 없이 알리페이에게 고객의 신용정보를 제공한 사실 확인
> 카카오페이가 애플 앱스토어에 결제 서비스를 제공하기 위해 이루어진 것
> 애플이 요구한 데이터를 재가공하는 과정에서 알리페이 계열사에 업무를 맡기면서 발생한 것으 로 보임
> 고객이 해외 결제를 이용하지 않았음에도 불구하고, 카카오페이에 가입한 전체 고객의 개인신상 이 제공
> 해외결제를 위해 고객 신용정보 제공이 필요하지 않음에도 불구하고 결제 내역 및 내용이 제공

- 카카오페이의 반박
> 알리페이의 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보 요청에 따른 정보 제공
> 본건 관련 정보제공이 사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리에 해당
> 철저한 암호화를 통해 전달되어 원본 데이터 유추할 수 없음
> 따라서, 고객 동의 없이 불법으로 정보를 제공한 사실이 없다는 입장

- 금감원의 재반박
① 신용정보의 처리 위탁 해당 여부
> 카카오페이-알리페이간 계약서 확인 결과 NSF 스코어 산출·제공업무를 위탁하는 내용은 전혀 존재하지 않음
> 카카오페이 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서 확인 결과 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 존재하지 않음
> 카카오페이가 공시한 개인신용정보 처리업무 위탁 사항에도 NSF 스코어 산출·제공업무는 포함되지 않음
> 대법원 판례 등에 의거 신용정보의 처리 위탁이 되기 위한 조건에 해당하지 않음
> 금융회사의 정보처리 업무 위탁에 관한 규정 제7조에 의거, 정보처리 업무 위수탁시 금감원에 사전 보고해야 함에도 보고하지 않음

② 원본 데이터 유추 가능 여부
> 카카오페이는 공개된 암호화 프로그램 중 가장 일반적인 SHA256 사용 및 함수에 랜덤값을 추가하지 않았고, 해시처리 함수를 지금까지 변경한 사례 없음
> 원본 데이터 유추가 가능
> 알리페이가 카카오페이에 개인신용정보를 요청한 이유는 애플 ID에 매칭하기 위함으로, 매칭을 위해서는 제공받은 개인식별정보를 복호화해야하기 때문에 주장과 모순
원인 - 카카오페이-알리페이간 제휴 업무 처리간 불필요 및 동의 없이 정보 제공
> 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스 제공
조치 - 금감원은 향우 면밀한 법률검토를 거쳐 신속한 제재절차와 유사사례에 대한 점검을 실시할 계획
> 금감원은 그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄청하게 처리
> 앞으로도 유사사례 재발 방지를 위해 노력할 것
기타 - 카카오페이가 중국 알리페이에 제공한 개인신용정보 종류
① 고객식별정보
> 해시처리한 카카오계정 ID·핸드폰 번호·이메일
> 해시처리하지 않은 핸드폰 본인인증시 생성번호(Device ID)

② 가입고객정보
> 카카오페이 가입일
> 카카오페이 머니
> 가입일
> 고객확인(KYC) 실시 여부
> 휴면계정 여부

③ 페이머니 거래내역
> 페이머니 잔고
> 최근 7일간 페이머니 충전횟수
> 최근 7일간 페이머니 출금 횟수
> 최근 7일간 페이머니 결제여부
> 최근 1일 페이머니 결제 여부
> 최근 1일 페이머니 결제 금액
> 당일송금서비스 사용 여부
> 최근 7일간 송금서비스 사용 건수

④ 등록카드 거래내역
> 카드등록 여부
> 등록카드 개수
> 최근 7일간 등록카드직불 건수
> 최근 7일간 카카오페이 결제거래 건수 및 결제 가맹점수

- NSF(Non-Sufficient-Funds Score): 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수

[참고]
- https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137604&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1
- https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137657&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7040

 

'침해사고 > 개인정보' 카테고리의 다른 글

개인정보 유출 사건 모음  (0) 2024.08.18
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10

1. 국내

- 온라인 강의 플랫폼 클래스유, 개인정보 유출
> 암호화 등 보안조치 미흡으로 100만명의 회원정보가 해킹포럼에 유출
> 유출된 개인정보는 닉네임, 이름, 전화번호, 이메일(일부 암호화)이며, 금융정보는 포함되지 않은 것으로 확인
> 앞으로는 회원들의 정보를 모두 암호화하여 보관할 예정

 

- 전북대 통합정보시스템 해킹으로 32만여명의 개인정보 유출
> 재학생, 졸업생, 평생교육원 회원 등 총 32만명 이상의 개인정보 유출
> 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등을 포함해 재학생·졸업생은 74개 항목, 평생교육원 회원은 29개 항목이 유출
> 인지 직후 공격 IP, 불법 접속 경로 차단 및 취약점 보완 조치와 철저한 재발방지 대책 마련 약속

 

- 공군 창의·혁신 아이디어 공모 해커톤 참가자 개인정보 유출
> 공군에서 운용 중인 인터넷 공군 해커톤 평가체계 홈페이지에서 관리되고 있는 고객 약 450명의 개인정보가 유출
> 유출된 정보는 2022년 수상자 명단, 2024년 접수현황 파일로, 해당 파일에 신분, 이름, 생년월일, 소속, 전화번호, 메일주소가 포함
> 유출 사실 인지 후 추가 피해 방지 및 예방 조치 완료

 

- 선문대학교, 위탁업체 실수로 학생 개인정보 유출
> 일부 홈페이지의 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 학생 개인정보 유출
> 시스템 업데이트 과정에서 기술적 문제로인해 로그인 없이 재학생 정보를 검색할 수 있었음
> 9700여명의 이름 일부와 학년, 학과, 전화번호 유출
> 피해 학생에게 사실 안내와 개보위 신고 및 긴급회의 진행(사건 발생 경위, 데이터 관리 차원에서 기술적 오류 여부, 사후 관리 계획 등)

2. 해외

- 아틀라시안의 작업 관리도구 트렐로에서 약 1,500만명의 사용자 개인정보 유출
> API 취약점을 악용한 해커의 공격으로 발생
> 공개된 API 앤드포인트 악용->이메일 주소 목록 활용->데이터 조합->데이터 유출 및 판매 단계를 걸쳐 진행

> 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근 차단 조치 및 API 사용을 지속 모니터링해 필요한 조치를 취할 것이라 발표

구분 설명
공개된 API 앤드포인트 악용 - 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 서비스 제공
-  API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계
-  누구든지 API를 호출해 공개된 정보를 검색할 수 있음
이메일 주소 목록 활용 - 해커는 다양한 소스에서 수집한 5억개의 이메일 목록을 준비
해당 이메일 주소를 API에 입력해 이메일이 트렐로 계정과 연결돼 있는지 확인
-  API 호출 결과 각 메일 주소와 연결된 계정 정보가 반환
데이터 조합 - API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함
- 해당 정보를 수집 및 각 이메일 주소와 조합해 1,500만개 이상의 사용자 프로필 생성
데이터 유출 및 판매 단계 생성된 사용자 프로필 정보를 다크웹에 게시

 

- 사상 최대 규모의 개인정보 유출 사건 발생
> 미국 거주자의 민감한 개인정보 담긴 약 27억 건의 데이터가 암호화되지 않은채 해킹 포럼에 유출
> 개인정보를 수집·판매하는 업체인 National Public Data에서 발생
> 유출된 정보는 이름, SSN(사회보장번호), 주소지, 일부 별칭 정보가 담긴 두 개의 텍스트 파일로, 총 277GB
> 유출된 데이터 중 많은 데이터가 오래된 백업에서 가져온 것으로 보임
> 피해 최소화를 위해 신용 보고서 모니터링, 신용 동결 고려 등 즉각 조치를 권고

 

- 텐센트 사용자 14억 명의 개인정보 유출
> 텐센트 고객 14억 명의 이메일, 전화번호, QQ용 ID 등 유출
> 정보의 출처는 확인되지 않으나, 24년 1월 MOAB(Mother of All Breaches)일 것으로 판단
> MOAB는 4000건이 넘는 침해 사고에서부터 수집된 데이터를 저장한 DB로, 약 260억 건의 기록을 포함
> MOAB에 15억 건의 텐센트 계정이 포함되어 있던것이 확인된바 있음

3. 공통

- IP 카메라 해킹으로 사생활 영상 180건 유출
> 2017년부터 최근까지 촬영된 것으로 보이는 IP 카메라 영상 약 180건 확인
> 유출 영상은 하나당 10~15달러에 거래되나, 피해자는 영상 유출 사실조차 인지하지 못하는 상황
> 제품을 사용하지 않을 경우 전원을 꺼두거나 렌즈 가리기, 펌웨어 최신 업데이트 등 보안 조치 필요

'침해사고 > 개인정보' 카테고리의 다른 글

카카오페이 개인신용정보 유출  (0) 2024.08.22
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
침해 사고 정보
일자 2011/04/12 ~ 2011/04/30
침해 정보 농협 전산망 275대 시스템 파일 삭제
특징 업무용 노트북 개인사용에의한 악성코드 감염
피해크기 농협 전산망 마비로 인한 모든 전산업무 중단
침해 사고 분석
경위 ① 10/09/04 농협 전산망 유지보수업체 직원 A씨 노트북으로 웹하드 이용
- 해당 노트북을 이용해 서버 관리 업무 수행
> 웹하드를 이용하던 중 악성코드에 감염되어 좀비 PC로 동작

② 10/10/22 노트북에 키로킹 프로그램 설치

③ 11/03/11 ~ 11/04/12 공격 관련 프로그램 설치
- 백도어, 파일 삭제 관련, 도청 프로그램, 공격 명령 프로그램 등 설치
> 키로깅 프로그램과 함께 사용해 계정정보 등 전산망 관리를 위한 정보 (계정, 내부 IP 등) 탈취

④ 11/04/12 공격 명령 파일 실행 및 흔적 제거
- 원격제어로 시스템 파일 삭제 명령이 저장된 공격 명령 프로그램 실행
> 당시 총 553대 서버 중 275대가 일부 혹은 전체 삭제
> 공격에 사용한 프로그램 삭제

⑤ 11/04/13 ~ 11/04/30 조사 착수 및 단계적 정상화
- 검찰 노트북, 전산자료, 서버 접속 기록 등을 확보하여 유관 기관과 협조 조사
> 11/04/30 농협 대고객서비스 완전 복구

⑥ 11/05/03 검찰 수사 결과 발표
- 북한이 관여된 사이버테러
원인 ① 업무용 노트북의 외부 반출 및 개인적 사용
- 통제 없이 서버 관리용 노트북의 외부 반출·입
> 서버 관리용 노트북을 개인적으로 사용해 영화, 음악을 다운

② 내·외부망 분리 미비로인한 점접 발생
- 통제구역 내에서 인터넷 연결 가능
> 작업 스케줄러 등을 통한 예약실행 가능성 존재

③ 기타 보안 조치 미비
- 서버 관리자 계정 동일한 비밀번호 장기간 사용 (약 9개월)
- 유지보수 업체 직원에 과도한 권한 부여 (시스템 파일 삭제 명령 실행)
- 유지보수 업체의 정책에 따라 노트북에 보안 프로그램이 설치되지 않음  (약 7개월)
조치 ① 농협
- 공격 명령 실행 10분 후 명령이 실행된 모든 중개 서버 셧다운
- 대고객 거래 전면 중단

② 검찰
- 약 한 달의 수사 결과 북한이 관여된 사이버테러라는 취지의 결과 발표
> 근거 1: 과거 북한이 사용한 IP와 동일한 하나의 IP 확인 (IP 한 개가 동일할 확률은 43억분의 1)
> 근거 2: 7.7, 3.4 DDoS 때와 공격 패턴, 암호화 방식, 삭제 대상 파일 확장자의 종류와 순서, 악성코드 이름 등 일치
> 근거 3: 노트북의 맥 어드레스와 모종의 경로로 국정원이 압수한 북한의 좀비 PC 중 하나와 맥어드레스가 일치
※ 기타: 보안 프로그램이 설치되지 않은 노트북, 무선인터넷을 이용한 방회벽 우회 등

③ 금융권
- 보안 관련 인력 확보 및 내부 보안절차 강화
> 웹 취약성 진단 횟수 증가
> 이동식저장장치(USB) 사용 일부 제한
> 부서장 승인을 통한 데이터 반출
> 일회용비밀번호(OTP) 등 추가 인증
> 망분리 방안 검토
> 외국 은행의 보안 시스템 벤치마킹
※ 정부 차원의 사이버 안보 마스터 플랜 마련 계획, 국가사이버위기관리법 재정 추진, 사이버사령부 확대 개편 등
기타 ① 농협 전산망에 대한 비판
- 당시 농협 IT 예산 중 보안 예산 비중은 1.6% (시스템 구축 완료 후 예산 삭감)
- 최저가 입찰을 통한 외부 아웃소싱
- 시스템 관리용 노트북의 백신 프로그램 미설치
- 시스템 관리용 노트북의 통제 없이 외부 반출·입 등

② 검찰 조사 결과에 대한 비판
- 농협 내부망에서 백도어 프로그램이 동작할 수 없음
- 대부분의 해커들이 IP를 스푸핑하므로 단정짓기는 어려움
- 7.7, 3.4 DDoS 공격은 북한의 소행이라고 확실히 밝혀지지 않음 등
> 당시 사용된 IP의 경우 KISA를 통해 이미 차단이 진행됨

③ 세 가지 가능성이 대두되었음
- 전·현직 직원의 복수극
> 규정상 서버 관리자와 직원이 권한을 나눠 가져야 함
> 하지만, 업무 편의를 위해 유지·보수를 맡은 직원이 모든 권한을 지님

- 내·외부 공모
> 공격 프로그램의 설치 과정에 내부자 또는 시스템을 잘 아는 인물이 개입되었을 것

- 전문 해커에 의한 사이버 테러
> 전산망 방화벽 내부에서 여러 차례 침입 흔적이 발견

 

'침해사고 > 해킹사고' 카테고리의 다른 글

알라딘 전자책 유출 사건  (0) 2023.09.27
한국장학재단 '개인정보 유출' 의심  (0) 2023.06.28
한국씨티은행 포스(POS)단말기 해킹 사고  (0) 2023.06.28
대학교 개인정보 유출  (0) 2023.06.17
한독 개인정보 유출  (0) 2023.06.16
침해 사고 정보
일자 2022/12 ~ 2023/06
침해 정보 이름, 전화번호, 계좌정보 등 개인정보
특징 서버 취약점 악용
피해크기 개인정보 약 106만건
침해 사고 분석
경위 브로커 B씨는 해커 A씨에게 해킹 및 개인정보 탈취 의뢰
> A씨는 컴퓨터 프로그램 관련 외주업체를 운영

② A씨는 자체 제작한 해킹 프로그램을 이용해 9개 사이트 해킹 및 개인정보 유출
> 증권사, 대부중개 플랫폼, 주식교육방송, 가상화폐사이트 등 9개
> 유출한 개인정보를 B씨에게 제공

③ J씨는 A씨에게 가상화폐 사이트 해킹 의뢰 및 개인정보 구매

④ 해커 A씨는 K씨, L씨에게 개인정보 구매

⑤ 대부업자 H씨, I씨는 B씨에게 해킹 및 개인정보 구매 의뢰

⑥ B씨는 H씨, I씨에게 개인정보 판매
> 대부업자들은 텔레그램을 통해 대출 신청자 정보를 실시간 판매해 부당이득 편취 (1개당 600~3,000원 판매, 약 3,000만원)

⑦ 비상장주식 판매 사기를 위해 C씨, D씨는 B씨에게 해킹 및 개인정보 구매 의뢰

⑧ B씨는 C씨, D씨에게 개인정보 판매
> 비상장주식 판매 조직원 E씨, F씨, G씨에게 개인정보 전달
> 투자 자문회사를 사칭하며 전화나 문자로 비상장 주식을 판매해 부당이득 편취 (피해자 36명, 약 6억원)

⑨ 해커, 해킹 의뢰자, 사기조직, 개인정보 유통업자 등 12명 검거, 4명 구속
원인 웹사이트의 보안 취약점 및 개인정보 관리의 문제점 악용
조치 ① 경찰
> 대부중개 플랫폼 업체의 개인정보가 유출됐다는 첩보를 입수해 수사 시작
> 원격 접속 IP 다수 확보, 서버 및 자료 비교분석으로 해커를 특정
> 압수수색으로 A씨가 제작한 해킹 프로그램 및 탈취한 개인정보 파일, 대포폰 26대, 노트북 8대, 현금 2,166만원 등을 현장에서 압수
> 전자정보 분석으로 개인정보가 탈취된 업체와 공범을 특정해 이들이 벌어들인 범죄수익에 대한 1억원을 추징보전 신청
> 최신 해킹 기술에 대응하는 사이버수사 역량을 강화할 것
> 한국인터넷진흥원(KISA) 등 유관기관과 협업을 통해 피해 예방 및 불법행위 엄중 처벌 예정
> 수사 과정에서 확인된 문제점 등을 해당 업체에 통보
기타 적용 법률
> 개인정보 보호법 제70조 제2호
2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자

> 개인정보 보호법 제71조 제2호
2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제71조 제1항 제9호·제11호
①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
9. 제48조 제1항을 위반하여 정보통신망에 침입한 자
10. 제48조 제3항을 위반하여 정보통신망에 장애가 발생하게 한 자
11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자

> 형법 제347조 제1항(사기)
사람을 기망하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년이하의 징역 또는 2천만원이하의 벌금에 처한다.

② 개인정보를 관리하는 업체에서는 보안이 취약한 사이트는 언제든지 범행 대상이 될 수 있음
> 웹 방화벽 활용, 취약점 점검, 최신 업데이트, 불필요한 개인정보는 삭제 등의 조치 필요

 

'침해사고 > 개인정보' 카테고리의 다른 글

카카오페이 개인신용정보 유출  (0) 2024.08.22
개인정보 유출 사건 모음  (0) 2024.08.18
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
침해 사고 정보
일자 2023/05/16
침해 정보 전자책(e-Book)
특징 마스터키(복호화 키) 무단 취득에 의한 유출
피해크기 전자책(e-Book) 약 72만권
침해 사고 분석
경위 피의자 A씨는 5월경 피해 업체 정보통신망의 취약점을 이용해 DRM 복호화 키 무단 취득
> DRM(Digital Rights Management): 디지털 콘텐츠를 암호화하여 정당한 권한을 가진 자만 열람·접근할 수 있도록 보호·관리하는 기술
> DRM 해제를 위한 자동화 프로그램을 제작 및 이용
> 구체적인 취약점은 확인되지 않음

② DRM 복호화 키를 이용해 전자책 5,000권을 복호화해 협박에 이용
> 비트코인 100비티시(당시 시세 기준 약 36억 원)를 요구
> 알라딘은 비트코인을 지불하였으나, 거래소 감시 시스템에 막혀 비트코인 0.3개가량만 전송됨
> A씨는 알라딘에 현금을 요구하였으며, 자금세탁 B씨, 현금수거 C씨 가담

③ 23.09.19 주범 A씨 구속
> 평소 디알엠 해제 방법에 관심을 두던 중 피해 업체의 보안상 허점 인지
> 다량의 전자책 암호 해제를 위한 프로그램을 제작
> B씨 23.08.03, C씨 23.07.27 구속 송치
원인 정보통신망의 취약점을 악용해 DRM 복호화키 탈취
조치 ① 알라딘
> 23.05.20 ~ 21 홈페이지 공지사항에 관련 안내글 2개 게시
> 유관기관 신고, 유출된 전자책 무단 재배포 모니터링 등

② 경찰
> 피의자 A가 개인용 컴퓨터와 클라우드에 보관 중이던 본건 전자책 복호화 키를 전량 회수
> 당시 유포된 전자책이 텔레그램 및 불법 공유 사이트를 통한 재배포 관찰 ·추적 및 관계기관 협업해 삭제 ·차단 조치 계획
> 한국인터넷진흥원과 수사 초기 공동 분석하여 공격방식, 취약점을 규명
> 수사를 통해 파악한 DRM의 보안상 문제점을 피해 업체에 공유
> 문화체육관광부, 한국저작권보호원, 한국인터넷진흥원, 한국전자출판협회 등 관계기관 회의를 개최
> 인터넷에 게시된 불법 저작물 다운, 재배포 등 행위 엄중 경고

③ 대한출판문화협회
> ‘전자책 유통 플랫폼 보안 상황 점검을 위한 설명회’를 개최
> 주요 전자책 플랫폼의 보안 업무 책임자, 출판사, 보안 전문가 등과 함께 재발 방지 방안을 모색할 예정
기타 피의자 A씨는 본 사건 이전에도 타 사이트의 DRM 복호화 키를 탈취
> 22.11 예스24에서 약 143만 권의 DRM 복호화 키 무단 취득 및 협박은 없음
> 23.09 시대인재와 메가스터디의 강의 동영상 700개를 DRM 복호화 키로 해제해 유포 및 협박
> 4개 피해 업체로부터 무단 취득한 전자책과 강의 동영상은 판매단가 기준, 합계 약 203억 원으로 파악
> 공갈 당시 유포된 전자책 5,000권과 강의 동영상 약 700개 이외에는 추가 유포된 자료는 없는 것으로 파악
※ 예스24는 DRM 복호화 키 유출을 인지한 시점에 즉시 복호화 키 무력화

② 다른 플랫폼의 DRM 관련 현황
> 밀리의 서재: DRM 기술을 바탕으로 한 보안 체계를 가동중이며, 더욱 구체화할 계획
> 예스24: 기본 DRM 외에 2개의 추가 암호화 로직을 주기적으로 변경해 사용하며, 내부 정보 관리 네트워크와 인터넷망을 분리 운영
> 교보문고: DRM 기술 및 이·삼중으로 철저한 보안을 유지하고 있다”면서 “전 직원이 월 1회 클린데스크를 점검하거나 악성메일에 대한 모의훈련을 실시하는 등 보안 이슈에 대비하고 있다”고 설명했다.

③ 출판인회의 관계자
> 국내 전자책 유통사 전반에 보안에 문제가 있음이 증명된 사건
> 표준 보안 기술이 필요하다고 요구하는 중
> 개별 서점이 관리하는 방식이 아닌 통일된 전자책 보안 방식을 도입할 이유가 더 분명

④ 경찰청 국가수사본부 사이버수사국 이지용 경감
> 복호화 키를 저장하는 서버가 외부에 노출돼 발생한 취약점
> 전자책 서비스 기업 대부분이 우선순위를 ‘보안’보다는 전자책을 보다 읽기 쉽게 하기 위한 ‘가용성’에 초점을 맞췄기 때문에 발생
> 이번 사건을 계기로 전자책 업계에서는 보관 중인 전자문서에 접근하는 인증절차, 외부 접근절차를 더욱 강화할 필요
> 동영상 스트리밍, 전자책 서비스는 캐시 서버(CDN)에 암호화된 전자책을 보관하지만, 원활한 서비스를 이유로 인증 절차나 정책이 매우 미흡
> CDN 서버는 특정 서버를 끊임없이 제공해야 하므로 문제가 된 취약점은 업계에서 암묵적으로 방치된 취약점(보안 강화로 서비스가 무거워질 수 있기 때문)

 

'침해사고 > 해킹사고' 카테고리의 다른 글

농협 전산망 마비 사태  (0) 2023.11.16
한국장학재단 '개인정보 유출' 의심  (0) 2023.06.28
한국씨티은행 포스(POS)단말기 해킹 사고  (0) 2023.06.28
대학교 개인정보 유출  (0) 2023.06.17
한독 개인정보 유출  (0) 2023.06.16
침해 사고 정보
일자 2023/07/18
침해 정보 티레이더 배틀에 가입한 고객의 계좌주명, 계좌번호, 휴대전화, HTS ID, 거래내역(종목명, 금액)
특징 유지관리 외주 직원에 의한 유출
피해크기 정확한 피해 규모는 아직 파악되지 않음
침해 사고 분석
경위 23.07.18 티레이더 배틀 유지관리 외주직원이 부정한 수단 및 방법으로 개인정보 무단 유출
원인 외주직원들에대한 시스템 접근 통제 문제로 판단됨
※ 2023 공공기관 정보보안 실태 평가 결과 서버ㆍ네트워크ㆍ보안장비 등 정보시스템에 대한 접근통제가 미흡한 것으로 확인됨
조치 ① 유안타증권
- 유출 사실을 인지한 뒤 경찰에 신고해 현재 해당 외주직원은 수사 진행 중
- 수사기관에 적극 협조해 신속하고 정확한 수사가 이뤄질 수 있도록 노력 중
- 현재 유출 의심 경로로 의심되는 부분을 찾아 접근을 모두 차단
- 스팸, 보이스피싱 등 2차 피해 주의 공지 게시 및 비밀번호 변경 안내
- 개인정보 악용으로 의심되는 전화, 문자 수신 시 피해 접수 담당부서로 연락하도록 안내
- 개인정보 유출 여부 조회는 수사기관으로부터 수령하는 즉시 제공
기타 - 티레이더 배틀은 유안타증권 주식계좌를 보유한 사용자가 개인 또는 팀을 이루어 투자대회를 열고 진행하는 플랫폼

- 이번 유출로 금전적 피해가 발생한 것은 아니지만 2차 피해 우려가 있음

- 유안타증권은 지난해 말 부터 고객 정보 유출 정황을 파악한 것으로 확인
> 23.02.01, 23.05.19 두 차례에 걸쳐 "유안타증권 직원사칭 주의 경보" 공지 게시
※ 해당 공지와 유출 사태는 별개의 건이라 주장
> '유안타증권 고객님들께만 드리는 혜택' 등 스팸문자 또한 확인

- 금융감독원 정기감사와의 관련 여부 의심
> 유안타증권은 지난달부터 약 4주간에 걸쳐 회사의 경영실태와 취약부문 점검을 받았으나 해당 사안은 발견되지 못함

 

'침해사고 > 개인정보' 카테고리의 다른 글

개인정보 유출 사건 모음  (0) 2024.08.18
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
침해 사고 정보
일자 2023/06/25
침해 정보 성명, 이메일, 주소, 휴대폰번호, 고객번호, 학자금 대출 신청현황, 학자금 대출 내역, 학자금 대출 잔액(등록금+생활비), 장학금 신청현황, 장학금 수혜내역, 장학 주요 공지, 대학생 연합생활관 신청현황, 대학생 연합생활관 입주내역, 나의기부
특징 사전 확보한 크리덴셜 정보를 통한 접근 시도
피해크기 확인불가
침해 사고 분석
경위 해외 IP에서 한국장학재단 홈페이지에 2차례 로그인 시도
> 1차_23.06.25 22:30 / 2차_23.06.26 07:30
> 사전 수집한 크리덴셜 정보를 이용해 접속한 것으로 추정
원인 ① 크리덴셜 정보 수집
> 이미 탈취된 정보 또는 동일한 계정 사용 등 공격자가 크리덴셜 정보를 사전에 수집한 것으로 판단됨
조치 ① 홈페이지 "개인정보 유출(의심)에 대한 안내 및 홈페이지 로그인 방식 변경 안내" 공지사항 게시
- 로그인 시도 포착 즉시 해외 IP 접근 차단
- 유출 의심 고객에게 MMS, 이메일을 이용해 안내
- 피해 최소화를 위해 ID/PW 로그인 방식에서 공동인증서를 이용한 로그인으로 로그인 방식 변경
- 재단 명의로 발송된 의심되는 URL 클릭 금지 및 보이스 피싱 유의 안내
- 피해 구제를 위한 안내 및 지원 약속
- 내부 개인정보 보호 관리체계를 개선
기타 ① 한국장학재단
- 교육부 산하 위탁집행형 준정부기관
- 대학생들의 학자금 지원 목적으로 2009년 설립
- 학자금 대출과 상환, 장학금 선정 및 수혜 등의 업무와 지도자 코멘티, 지식봉사활동 등을 수행

 

'침해사고 > 해킹사고' 카테고리의 다른 글

농협 전산망 마비 사태  (0) 2023.11.16
알라딘 전자책 유출 사건  (0) 2023.09.27
한국씨티은행 포스(POS)단말기 해킹 사고  (0) 2023.06.28
대학교 개인정보 유출  (0) 2023.06.17
한독 개인정보 유출  (0) 2023.06.16
침해 사고 정보
일자 2014/01/05
침해 정보 이름, 전화번호, 카드번호, 유효기간, OK캐시백 포인트카드 비밀번호 등
특징 POS 단말기에 악성코드를 유포하여 단말기 관리업체 원격 접근
피해크기 - 경찰청이 확인한 사고금액:  286건, 1억 2천만원(건당평균 약 45만원) + α (신고되지 않은 피해, 미수)
- 개인정보 6만여건 (신한카드_3만 5000건, 국민카드_3만 3000건, 농협카드_3만건, 광주은행_1만 7000건, IBK기업은행과, 한국씨티은행등)
침해 사고 분석
경위 14.01.05 해커(이씨 등) 캄보디아에서 전남 목포 H커피 전문점 POS 단말기 원격 접속
> POS 단말기를 이용해 단말기 관리업체 서버에 접근

② 14.01.26 관리업체 서버에 저장된 개인정보 탈취
> 80여개 가맹점에서 약 20만건의 개인정보 유출
> 이씨 등은 유출 카드정보를 이용해 복제카드를 만든 후 포인트카드 비밀번호와 일치한 복제카드로 해외 및 국내 현금인출기(ATM)에서 현금 인출 및 현금서비스 이용
※ 대부분의 사용자들이 OK캐시백 비밀번호와 신용카드의 비밀번호를 동일하게 사용하는 점에 착안하여 범행 계획

③ 14.01.28 BC, 신한, 삼성 등 일부 카드사는 고객 카드 부정 사용 사실 파악 후 경찰 신고
> 14.02 카드사에 압수수색 영장을 집행, 피해 현황을 제출 요구

④ 14.03.04 씨티은행 경찰 출석 후 피해 사실 진술

⑤ 14.04.10 경찰 수사 결과 발표
> 피해 내역 320만건을 분석해 유출 고객 20만 5천명의 자료를 금감원에 전달 (14.04.03)
> 금감원은 카드사별로 분류 후 해당 카드사에 전달 (14.04.07)

⑥ 14.04.28 검찰, 경찰 수사 중인 주범 이씨 외 일당 기소
원인 ① POS 단말기의 보안상 취약점으로 인한 악성코드 유포
- POS 시스템은 대부분 저사양 컴퓨터에 관련 프로그램이 운용
> 메모리 1GB 정도의 낮은 사양과 보안 프로그램도 없으며, 윈도 업데이트 또한 이뤄지지 않았음
> POS 시스템을 본래 목적 외에 인터넷 검색 등의 용도로 사용하는 경우도 존재

- 카드를 POS에 긁을 경우 카드 번호가 노출되어 손 쉽게 복제하여 사용이 가능

② 한국씨티은행의 늦은 대응으로 인한 피해 규모 증가
- POS 단말기 해킹 사고를 경찰로부터 통보받고도 한달 후 경찰에 피해 사실 신고
- 자사의 불법 카드 사용이 연이어 발생하는데도 사고 원인, 피해 현황 등 기초적인 사실파악을 하지 못함
조치 ① 금융감독원
- 14.04.07 유출된 고객명단을 10곳 카드사에 전달해 FDS시스템을 등록, 정밀 감시하라고 긴급 지시
> 부정사용 적발 시 수사기관에 즉각 통보

- POS 단말기 등을 조속히 IC단말기로 전환 추진
> 보조 IC리더기 설치 등을 통해 14년도 말까지 IC 결제가 가능하도록 전환
> 'IC단말기 전환전담반'을 구성 및 IC결제를 유도하는 IC우선승인제를 시행

- 신용카드 가입신청서와 정보 수집·제공 동의서 개편
- 카드사와 VAN사간 '업무위탁 처리 지침'을 마련해 카드사가 VAN사 위탁 업무를 평가·점검하도록 유도
- 카드 부정사용을 막기 위해 5만원 이상 결제시 문자알림 서비스 무료 제공
- 소비자가 금융사의 영업목적 연락에 대해 중지를 요청할 수 있는 '연락중지 청구 통합사이트' 개설
- 소비자 '명의도용방지 서비스'에 가입 유도

② 카드사
- 카드 위변조 사고로 인해 발생하는 피해에대해 전액 보상
- 포인트카드를 동시에 사용한 카드 회원에 대해서는 사고 예방차원에서 해당 카드사가 교체 발급

③ VAN사
- 여신전문금융업법에 따라 금융위에 등록
- 금융위가 정하는 IT안전성 기준 준수 및 신용정보 보호 의무를 부여
- 대리점에 관련 업무를 위탁하는 경우 대리점의 법규 준수 여부에 대해 관리·감독을 철저히 하도록 유도 및 필요시 위탁 계약을 체결한 대리점도 금감원이 직접 조사
기타 ① POS(Point of Sales)
- 물품 판매와 품목, 가격, 수량 등의 유통 정보를 컴퓨터에 입력시켜 정보를 분석, 활용하는 관리 시스템
- 운영 정보 제공뿐 아니라 다양한 포인트와 맴버십 등 고객 관리까지 사용
- MS 방식 동작: 마그네틱을 입력장치에 통과시켜(=긁어서) 데이터를 전송

② IC단말기
- IC 방식 동작: 플라스틱 카드에 IC칩을 내장하며, IC칩의 패턴을 입력장치의 단자에 밀착시켜(=꽂아서) 데이터를 전송
- MS 방식 대비 보안성이 띄어남

③ 여신전문금융업법 제16조(신용카드회원등에 대한 책임) 제5항 신용카드업자는 신용카드회원등에 대하여 다음 각 호에 따른 신용카드등의 사용으로 생기는 책임을 진다.
1. 위조(僞造)되거나 변조(變造)된 신용카드등의 사용
2. 해킹, 전산장애, 내부자정보유출 등 부정한 방법으로 얻은 신용카드등의 정보를 이용한 신용카드등의 사용
3. 다른 사람의 명의를 도용(盜用)하여 발급받은 신용카드등의 사용(신용카드회원등의 고의 또는 중대한 과실이 있는 경우는 제외한다)

 

'침해사고 > 해킹사고' 카테고리의 다른 글

알라딘 전자책 유출 사건  (0) 2023.09.27
한국장학재단 '개인정보 유출' 의심  (0) 2023.06.28
대학교 개인정보 유출  (0) 2023.06.17
한독 개인정보 유출  (0) 2023.06.16
옥션 개인정보 유출  (0) 2023.05.24

+ Recent posts

티스토리툴바