침해 사고 정보
일자 2018.04~ 현재
침해 정보 카카오페이 계정 ID, 휴대폰 번호, 이메일, 가입 내여, 거래 내역(잔고, 충전, 출금, 결제 금액 등)
※ 기타 내용 참고
특징 제휴 업무 처리 간 불필요 정보 및 고객 동의 없이 제공
피해크기 - 18.04부터 현재까지 매일 1회, 총 542여건 (누적 4,045만명)
- 19.11부터 현재까지 해외결제 이용시마다 총 5.5억건
침해 사고 분석
경위 - 금감원, 24.05~07까지 카카오페이 해외결제부문에 대한 현장 검사 실시 결과 발표 
> 카카오페이가 고객의 동의 없이 알리페이에게 고객의 신용정보를 제공한 사실 확인
> 카카오페이가 애플 앱스토어에 결제 서비스를 제공하기 위해 이루어진 것
> 애플이 요구한 데이터를 재가공하는 과정에서 알리페이 계열사에 업무를 맡기면서 발생한 것으 로 보임
> 고객이 해외 결제를 이용하지 않았음에도 불구하고, 카카오페이에 가입한 전체 고객의 개인신상 이 제공
> 해외결제를 위해 고객 신용정보 제공이 필요하지 않음에도 불구하고 결제 내역 및 내용이 제공

- 카카오페이의 반박
> 알리페이의 NSF 스코어 산출을 명목으로 카카오페이 전체 고객의 신용정보 요청에 따른 정보 제공
> 본건 관련 정보제공이 사용자의 동의가 필요없는 업무 위수탁 관계에 따른 신용정보의 처리에 해당
> 철저한 암호화를 통해 전달되어 원본 데이터 유추할 수 없음
> 따라서, 고객 동의 없이 불법으로 정보를 제공한 사실이 없다는 입장

- 금감원의 재반박
① 신용정보의 처리 위탁 해당 여부
> 카카오페이-알리페이간 계약서 확인 결과 NSF 스코어 산출·제공업무를 위탁하는 내용은 전혀 존재하지 않음
> 카카오페이 회원가입시 징구하는 약관 및 해외결제시 징구하는 동의서 확인 결과 NSF스코어와 관련한 고객정보 제공을 유추할 수 있는 내용이 존재하지 않음
> 카카오페이가 공시한 개인신용정보 처리업무 위탁 사항에도 NSF 스코어 산출·제공업무는 포함되지 않음
> 대법원 판례 등에 의거 신용정보의 처리 위탁이 되기 위한 조건에 해당하지 않음
> 금융회사의 정보처리 업무 위탁에 관한 규정 제7조에 의거, 정보처리 업무 위수탁시 금감원에 사전 보고해야 함에도 보고하지 않음

② 원본 데이터 유추 가능 여부
> 카카오페이는 공개된 암호화 프로그램 중 가장 일반적인 SHA256 사용 및 함수에 랜덤값을 추가하지 않았고, 해시처리 함수를 지금까지 변경한 사례 없음
> 원본 데이터 유추가 가능
> 알리페이가 카카오페이에 개인신용정보를 요청한 이유는 애플 ID에 매칭하기 위함으로, 매칭을 위해서는 제공받은 개인식별정보를 복호화해야하기 때문에 주장과 모순
원인 - 카카오페이-알리페이간 제휴 업무 처리간 불필요 및 동의 없이 정보 제공
> 국내 고객이 알리페이가 계약한 해외가맹점에서 카카오페이로 결제할 수 있는 서비스 제공
조치 - 금감원은 향우 면밀한 법률검토를 거쳐 신속한 제재절차와 유사사례에 대한 점검을 실시할 계획
> 금감원은 그동안 개인신용정보 등이 동의 없이 제3자에게 제공되는 경우 엄청하게 처리
> 앞으로도 유사사례 재발 방지를 위해 노력할 것
기타 - 카카오페이가 중국 알리페이에 제공한 개인신용정보 종류
① 고객식별정보
> 해시처리한 카카오계정 ID·핸드폰 번호·이메일
> 해시처리하지 않은 핸드폰 본인인증시 생성번호(Device ID)

② 가입고객정보
> 카카오페이 가입일
> 카카오페이 머니
> 가입일
> 고객확인(KYC) 실시 여부
> 휴면계정 여부

③ 페이머니 거래내역
> 페이머니 잔고
> 최근 7일간 페이머니 충전횟수
> 최근 7일간 페이머니 출금 횟수
> 최근 7일간 페이머니 결제여부
> 최근 1일 페이머니 결제 여부
> 최근 1일 페이머니 결제 금액
> 당일송금서비스 사용 여부
> 최근 7일간 송금서비스 사용 건수

④ 등록카드 거래내역
> 카드등록 여부
> 등록카드 개수
> 최근 7일간 등록카드직불 건수
> 최근 7일간 카카오페이 결제거래 건수 및 결제 가맹점수

- NSF(Non-Sufficient-Funds Score): 애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수

[참고]
- https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137604&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1
- https://www.fss.or.kr/fss/bbs/B0000188/view.do?nttId=137657&menuNo=200218&cl1Cd=&sdate=&edate=&searchCnd=1&searchWrd=%EC%B9%B4%EC%B9%B4%EC%98%A4&pageIndex=1
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7040

 

'침해사고 > 개인정보' 카테고리의 다른 글

개인정보 유출 사건 모음  (0) 2024.08.18
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10

1. 국내

- 온라인 강의 플랫폼 클래스유, 개인정보 유출
> 암호화 등 보안조치 미흡으로 100만명의 회원정보가 해킹포럼에 유출
> 유출된 개인정보는 닉네임, 이름, 전화번호, 이메일(일부 암호화)이며, 금융정보는 포함되지 않은 것으로 확인
> 앞으로는 회원들의 정보를 모두 암호화하여 보관할 예정

 

- 전북대 통합정보시스템 해킹으로 32만여명의 개인정보 유출
> 재학생, 졸업생, 평생교육원 회원 등 총 32만명 이상의 개인정보 유출
> 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등을 포함해 재학생·졸업생은 74개 항목, 평생교육원 회원은 29개 항목이 유출
> 인지 직후 공격 IP, 불법 접속 경로 차단 및 취약점 보완 조치와 철저한 재발방지 대책 마련 약속

 

- 공군 창의·혁신 아이디어 공모 해커톤 참가자 개인정보 유출
> 공군에서 운용 중인 인터넷 공군 해커톤 평가체계 홈페이지에서 관리되고 있는 고객 약 450명의 개인정보가 유출
> 유출된 정보는 2022년 수상자 명단, 2024년 접수현황 파일로, 해당 파일에 신분, 이름, 생년월일, 소속, 전화번호, 메일주소가 포함
> 유출 사실 인지 후 추가 피해 방지 및 예방 조치 완료

 

- 선문대학교, 위탁업체 실수로 학생 개인정보 유출
> 일부 홈페이지의 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 학생 개인정보 유출
> 시스템 업데이트 과정에서 기술적 문제로인해 로그인 없이 재학생 정보를 검색할 수 있었음
> 9700여명의 이름 일부와 학년, 학과, 전화번호 유출
> 피해 학생에게 사실 안내와 개보위 신고 및 긴급회의 진행(사건 발생 경위, 데이터 관리 차원에서 기술적 오류 여부, 사후 관리 계획 등)

2. 해외

- 아틀라시안의 작업 관리도구 트렐로에서 약 1,500만명의 사용자 개인정보 유출
> API 취약점을 악용한 해커의 공격으로 발생
> 공개된 API 앤드포인트 악용->이메일 주소 목록 활용->데이터 조합->데이터 유출 및 판매 단계를 걸쳐 진행

> 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근 차단 조치 및 API 사용을 지속 모니터링해 필요한 조치를 취할 것이라 발표

구분 설명
공개된 API 앤드포인트 악용 - 트렐로는 REST API를 통해 사용자들이 공개된 프로필 정보를 조회할 수 있는 서비스 제공
-  API는 사용자 ID, 사용자 이름, 이메일 주소를 기반으로 프로필 정보를 검색할 수 있도록 설계
-  누구든지 API를 호출해 공개된 정보를 검색할 수 있음
이메일 주소 목록 활용 - 해커는 다양한 소스에서 수집한 5억개의 이메일 목록을 준비
해당 이메일 주소를 API에 입력해 이메일이 트렐로 계정과 연결돼 있는지 확인
-  API 호출 결과 각 메일 주소와 연결된 계정 정보가 반환
데이터 조합 - API 호출을 통해 반환된 데이터에는 사용자 ID, 프로필 URL, 상태 정보, 설정 및 제한 사항, 관련 보드 멤버십 정보가 포함
- 해당 정보를 수집 및 각 이메일 주소와 조합해 1,500만개 이상의 사용자 프로필 생성
데이터 유출 및 판매 단계 생성된 사용자 프로필 정보를 다크웹에 게시

 

- 사상 최대 규모의 개인정보 유출 사건 발생
> 미국 거주자의 민감한 개인정보 담긴 약 27억 건의 데이터가 암호화되지 않은채 해킹 포럼에 유출
> 개인정보를 수집·판매하는 업체인 National Public Data에서 발생
> 유출된 정보는 이름, SSN(사회보장번호), 주소지, 일부 별칭 정보가 담긴 두 개의 텍스트 파일로, 총 277GB
> 유출된 데이터 중 많은 데이터가 오래된 백업에서 가져온 것으로 보임
> 피해 최소화를 위해 신용 보고서 모니터링, 신용 동결 고려 등 즉각 조치를 권고

 

- 텐센트 사용자 14억 명의 개인정보 유출
> 텐센트 고객 14억 명의 이메일, 전화번호, QQ용 ID 등 유출
> 정보의 출처는 확인되지 않으나, 24년 1월 MOAB(Mother of All Breaches)일 것으로 판단
> MOAB는 4000건이 넘는 침해 사고에서부터 수집된 데이터를 저장한 DB로, 약 260억 건의 기록을 포함
> MOAB에 15억 건의 텐센트 계정이 포함되어 있던것이 확인된바 있음

3. 공통

- IP 카메라 해킹으로 사생활 영상 180건 유출
> 2017년부터 최근까지 촬영된 것으로 보이는 IP 카메라 영상 약 180건 확인
> 유출 영상은 하나당 10~15달러에 거래되나, 피해자는 영상 유출 사실조차 인지하지 못하는 상황
> 제품을 사용하지 않을 경우 전원을 꺼두거나 렌즈 가리기, 펌웨어 최신 업데이트 등 보안 조치 필요

'침해사고 > 개인정보' 카테고리의 다른 글

카카오페이 개인신용정보 유출  (0) 2024.08.22
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
침해 사고 정보
일자 2022/12 ~ 2023/06
침해 정보 이름, 전화번호, 계좌정보 등 개인정보
특징 서버 취약점 악용
피해크기 개인정보 약 106만건
침해 사고 분석
경위 브로커 B씨는 해커 A씨에게 해킹 및 개인정보 탈취 의뢰
> A씨는 컴퓨터 프로그램 관련 외주업체를 운영

② A씨는 자체 제작한 해킹 프로그램을 이용해 9개 사이트 해킹 및 개인정보 유출
> 증권사, 대부중개 플랫폼, 주식교육방송, 가상화폐사이트 등 9개
> 유출한 개인정보를 B씨에게 제공

③ J씨는 A씨에게 가상화폐 사이트 해킹 의뢰 및 개인정보 구매

④ 해커 A씨는 K씨, L씨에게 개인정보 구매

⑤ 대부업자 H씨, I씨는 B씨에게 해킹 및 개인정보 구매 의뢰

⑥ B씨는 H씨, I씨에게 개인정보 판매
> 대부업자들은 텔레그램을 통해 대출 신청자 정보를 실시간 판매해 부당이득 편취 (1개당 600~3,000원 판매, 약 3,000만원)

⑦ 비상장주식 판매 사기를 위해 C씨, D씨는 B씨에게 해킹 및 개인정보 구매 의뢰

⑧ B씨는 C씨, D씨에게 개인정보 판매
> 비상장주식 판매 조직원 E씨, F씨, G씨에게 개인정보 전달
> 투자 자문회사를 사칭하며 전화나 문자로 비상장 주식을 판매해 부당이득 편취 (피해자 36명, 약 6억원)

⑨ 해커, 해킹 의뢰자, 사기조직, 개인정보 유통업자 등 12명 검거, 4명 구속
원인 웹사이트의 보안 취약점 및 개인정보 관리의 문제점 악용
조치 ① 경찰
> 대부중개 플랫폼 업체의 개인정보가 유출됐다는 첩보를 입수해 수사 시작
> 원격 접속 IP 다수 확보, 서버 및 자료 비교분석으로 해커를 특정
> 압수수색으로 A씨가 제작한 해킹 프로그램 및 탈취한 개인정보 파일, 대포폰 26대, 노트북 8대, 현금 2,166만원 등을 현장에서 압수
> 전자정보 분석으로 개인정보가 탈취된 업체와 공범을 특정해 이들이 벌어들인 범죄수익에 대한 1억원을 추징보전 신청
> 최신 해킹 기술에 대응하는 사이버수사 역량을 강화할 것
> 한국인터넷진흥원(KISA) 등 유관기관과 협업을 통해 피해 예방 및 불법행위 엄중 처벌 예정
> 수사 과정에서 확인된 문제점 등을 해당 업체에 통보
기타 적용 법률
> 개인정보 보호법 제70조 제2호
2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자

> 개인정보 보호법 제71조 제2호
2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제71조 제1항 제9호·제11호
①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
9. 제48조 제1항을 위반하여 정보통신망에 침입한 자
10. 제48조 제3항을 위반하여 정보통신망에 장애가 발생하게 한 자
11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자

> 형법 제347조 제1항(사기)
사람을 기망하여 재물의 교부를 받거나 재산상의 이익을 취득한 자는 10년이하의 징역 또는 2천만원이하의 벌금에 처한다.

② 개인정보를 관리하는 업체에서는 보안이 취약한 사이트는 언제든지 범행 대상이 될 수 있음
> 웹 방화벽 활용, 취약점 점검, 최신 업데이트, 불필요한 개인정보는 삭제 등의 조치 필요

 

'침해사고 > 개인정보' 카테고리의 다른 글

카카오페이 개인신용정보 유출  (0) 2024.08.22
개인정보 유출 사건 모음  (0) 2024.08.18
유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
침해 사고 정보
일자 2023/07/18
침해 정보 티레이더 배틀에 가입한 고객의 계좌주명, 계좌번호, 휴대전화, HTS ID, 거래내역(종목명, 금액)
특징 유지관리 외주 직원에 의한 유출
피해크기 정확한 피해 규모는 아직 파악되지 않음
침해 사고 분석
경위 23.07.18 티레이더 배틀 유지관리 외주직원이 부정한 수단 및 방법으로 개인정보 무단 유출
원인 외주직원들에대한 시스템 접근 통제 문제로 판단됨
※ 2023 공공기관 정보보안 실태 평가 결과 서버ㆍ네트워크ㆍ보안장비 등 정보시스템에 대한 접근통제가 미흡한 것으로 확인됨
조치 ① 유안타증권
- 유출 사실을 인지한 뒤 경찰에 신고해 현재 해당 외주직원은 수사 진행 중
- 수사기관에 적극 협조해 신속하고 정확한 수사가 이뤄질 수 있도록 노력 중
- 현재 유출 의심 경로로 의심되는 부분을 찾아 접근을 모두 차단
- 스팸, 보이스피싱 등 2차 피해 주의 공지 게시 및 비밀번호 변경 안내
- 개인정보 악용으로 의심되는 전화, 문자 수신 시 피해 접수 담당부서로 연락하도록 안내
- 개인정보 유출 여부 조회는 수사기관으로부터 수령하는 즉시 제공
기타 - 티레이더 배틀은 유안타증권 주식계좌를 보유한 사용자가 개인 또는 팀을 이루어 투자대회를 열고 진행하는 플랫폼

- 이번 유출로 금전적 피해가 발생한 것은 아니지만 2차 피해 우려가 있음

- 유안타증권은 지난해 말 부터 고객 정보 유출 정황을 파악한 것으로 확인
> 23.02.01, 23.05.19 두 차례에 걸쳐 "유안타증권 직원사칭 주의 경보" 공지 게시
※ 해당 공지와 유출 사태는 별개의 건이라 주장
> '유안타증권 고객님들께만 드리는 혜택' 등 스팸문자 또한 확인

- 금융감독원 정기감사와의 관련 여부 의심
> 유안타증권은 지난달부터 약 4주간에 걸쳐 회사의 경영실태와 취약부문 점검을 받았으나 해당 사안은 발견되지 못함

 

'침해사고 > 개인정보' 카테고리의 다른 글

개인정보 유출 사건 모음  (0) 2024.08.18
증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
침해 사고 정보
일자 2023/05/18
침해 정보 이름, 소속, 결혼 및 동거 여부, 채용 과정 등
특징 Human Error (공문 발송 실수)
피해크기 해병대 여성 장교 및 부사관 군무원 800여 명
침해 사고 분석
경위 ① 23.05.18 해병대 성고충예방대응센터는 내부망 '온나라시스템'으로 공문 발송
> 5년 차 미만의 여성인력 현황을 확인해달라는 공문
> 수신인으로 지정된 담당자만이 열람 가능
※ 현황 파악과 무관한 개인 정보가 다수 포함
※ 첨부 파일 내려받기가 가능해 유출범위 확산 우려
원인 Human Error (공문 발송 실수)
조치 해병대 성고충예방대응센터
> 23.05.23 열람 제한
> 23.05.30 첨부파일 교체
기타 -

'침해사고 > 개인정보' 카테고리의 다른 글

증권사 및 대부중계 플랫폼 개인정보 유출  (0) 2023.09.27
유안타증권 개인정보 유출  (0) 2023.07.21
서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
침해 사고 정보
일자 2021/06/05 ~ 2021/06/11
침해 정보 - 환자정보: 병원등록번호, 성명, 생년월일, 성별, 나이, 진료과, 진단명, 검사일, 검사명, 검사결과
- 직원정보: 사번, 성명, 주민번호, 거주지연락처, 연락처, 이메일, 근무부서정보, 직급연차정보, 임용퇴직정보, 휴복직정보, 자격면허정보 등
특징 파일 업로드 취약점을 이용한 웹쉘 업로드로
피해크기 - 약 83만명의 개인정보
> 환자 81만여명
> 전·현직 직원 1만7000여명 
침해 사고 분석
경위 21.05 ~ 21.06 국내·외에 소재한 서버 7대를 장악해 공격 기반 마련
> 국내 4대·해외 3대

② 웹쉘 업로드
> 내부망에서 사용하기 위한 계정 생성
> ID/PW : default/다치지 말라

③ 공유폴더와 연결된 서울대병원 내부망에 침입

④ 병리검사 서버에서 개인정보 탈취
> 81만명의 진료정보를 탈취

⑤ 내부망 전자사보DB에서 개인정보 탈취
> 1만 7000여명의 직원정보 탈취
> 이중 2000명의 정보는 실제 유출된 것으로 확인
원인 ① 파일 업로드가 가능한 병원 내부망의 보안 취약점을 활용
> 웹서버에 명령을 실행해 관리자 권한을 획득할 수 있는 웹쉘이 필터링 되지 않고 업로드 됨
조치 ① 21.07.06 서울대병원 침해 사실 최초 인지 및 공지 게시
- 교육부/보건복지부/개인정보보호위원회/사이버수사대 등에 신고후 조사를 진행
- 서울대병원의 후속조치
> 해당 IP 및 접속 경로 차단
> 서비스 분리
> 취약점 점검 및 보완조치
> 모니터링 강화
> 사용자 PC 비밀번호 변경
> 개인정보보호위원회 등 관련 유관기관 신고
> 병원에 등록된 휴대전화번호로 개인정보 유출 사실 개별 연락 수행

② 23.05.10 경찰청 발표
- 피해기관에 침입 및 정보 유출 수법과 재발 방지를 위한 보안 권고사항을 설명
- 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공
> 국가 배후의 조직적 사이버 공격에 대해 치안 역량을 총동원하여 적극적으로 대응
> 관계기관 정보공유 및 협업을 통해 추가적인 피해를 방지
> 사이버 안보를 굳건히 지키기 위해 노력할 계획

- 경찰
> 개인정보보호위원회 의결 결과에 따라 병원 개인정보 보호책임자 입건 여부 검토 예정

③ 23.05.10 개인정보보호위원회
- 전체회의를 통해 서울대학교병원에 과징금 7,475만원 부과 의결
> 서울대병원이 이미 널리 알려진 해킹공격(웹쉘)을 탐지하고, 방어할 관리적·기술적 조치가 미비했다고 판단
> 공공기관 최초로 과징금을 부과
기타 ① 기존 북한발로 확인된 다수 사건과 비교 결과 해당 사건 또한 북한발(김수키, Kimsuky)로 확인
- 기존 사례와 동일한 사항
> 공격 근원지 IP, IP 주소 세탁 기법: 과거 북한 해킹 조직이 사용했던 IP 포함
> 인터넷 사이트 가입정보, 시스템 침입·관리 수법: 해킹용 서버의 사용자 이름·이메일이 과거 북한 해킹조직이 사용한 정보
> 북한어휘 사용: 내부망에 생성한 계정의 비밀번호가 한글 자판으로 '다치지 말라'

② 이승운 경찰청 사이버테러수사대장
- 해킹 조직이 병리검사가 저장됐던 서버를 해킹
- 고위 인사의 개인정보를 빼내기 위한 목적으로 추정

③ 남석 개인정보위 조사조정국장
> 공공기관의 경우 다량의 개인정보를 처리
> 작은 위반행위로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요

④ 의료 분야 외 다른 분야 또한 주요 정보통신망에 대한 침입 시도가 지속될 것으로 예상
- 최신 보안 업데이트 적용
- 불법적인 접속시도에 대한 접근통제
- 개인정보를 포함한 중요 전산 자료 암호화 등 보안 시스템과 보안정책 강화 권고

 

'침해사고 > 개인정보' 카테고리의 다른 글

유안타증권 개인정보 유출  (0) 2023.07.21
해병대 개인정보 유출  (1) 2023.06.16
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
침해 사고 정보
일자 2016/05/03
침해 정보  -일반회원
> 인터파크: 아이디, 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소
> 제휴사: 아이디
- 탈퇴회원: 아이디
- 휴먼회원: 아이디, 암호화된 비밀번호
특징 악성코드가 첨부된 메일_APT 의심
피해크기 약 2,665명 (일반회원 약 1,340만명, 탈퇴회원 173만명, 휴먼회원 1,152만명)
침해 사고 분석
경위 ① 악성코드를 심은 이메일 발송 (피싱 or 스피어 피싱)

② 메일 열람 후 악성코드 감염, 감염 PC를 이용해 DB 서버 데이터 유출로 이어짐
- 메일을 열람한 A의 PC 감염
- 악성코드는 A의 PC를 매개로 다수 단말에 악성코드 설치하여 내부정보 수집
> A의 PC로 파일공유서버 접속 및 악성코드 설치, Brute-Force Attack 수행
- DB 서버에 접근 가능한 개인정보취급자PC의 제어권 획득
> 기존 연결 상태를 이용해 DB 서버 접속
- DB 서버 접속 및 개인정보 탈취·유출
> B의 PC를 경유해 개인정보 PC 및 DB서버에 재접속
> DB 서버의 개인정보 탈취하여 웹 서버->취급자 PC->B PC를 거쳐 외부 유출
> 인터파크 회원정보 약 2,665건이 보관된 파일을 16개로 분할하고 직원PC를 경유하여 외부로 유출

③ 추적을 피하기 위해 해외 IP를 경유해 인터파크 DB 서버에 접속

④ 해커는 인터파크에 30억 원 상당의 비트코인 요구 메일을 7/11 보냄으로써, 인터파크는 침해 사실 인지
원인 ① 스팸, 사칭 메일에 대한 인식 부족
- 국가기관 사칭 E메일을 수신한 759명 중 약5%(20명 중 1명)는 정상메일로 인지

② 당시 인터파크에 패스워드 관리 및 서버 접근통제 관리 등이 미흡했던 것으로 판단됨
조치 ① 외국과 공조수사

② 피해자들은 손해배상 소송 청구
- 2020년 회원들에게 1인당 10만원씩 지급 판결
> 유출된 회원들의 개인정보는 모두 개인을 식별할 수 있다는 점
> 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해로 확산 가능한 점
> 뒤늦은 통지로 회원들이 유출에 신속히 대응할 수 있는 기회를 상실하게 한 점
> 유출된 정보가 추가적 피해로 이어졌다는 등으로 볼 자료는 제출되지 않았다는 점
> 소비자에게 서비스를 제공함에 있어 고객의 개인정보를 수집·보관이 필요하다는 점

③ 인터파크는 해커의 협박 메일로 7월 유출 사실을 인지(실제 사고로부터 2개월 뒤)하였으며, 그로부터 14일 뒤 이를 통지
> 7/11 APT 형태의 공격에 의한 침해 사실 인지
> 7/12 경찰청 사이버 안전국에 신고, 공조 시작
> 7/25 홈페이지 공지 사항에 침해 사고 관련 공지 게재

④ 국가부처의 지원 및 조치
- 미래부 (현재의 과기부)
> 인터파크 조사 중 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시

- 방통위
> 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해 사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치
> 개인정보 보호조치 위반 관련 사항에 대해서는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정
기타 ① 유출된 정보는 개인별로 차이가 있음
> 주민번호, 금융정보는 유출되지 않았으며
> 비밀번호는 암호화되어 있어 안전하다고 발표

② 인터파크는 2015년 개인정보관리체계(PIMS) 인증을 획득 받아, 유출 이후 피해 최소화에 방안을 세워 두었음

③ 당시 조사 결과
> 기업이 침해를 인지하는 경우는 31%로, 69%는 감사, 협박, 언론 공개 등으로 인지
> 공격자의 침입 후 평균 205일(6개월) 지나서 침해 사실을 인지

④ 해당 사건은 북한 정찰총국의 소행으로 결론
> 해킹에 사용된 IP와 악성코드가 북한이 과거 사이버테러에 동원한 것과 유사하며,
> 임원이 받은 협박 전자우편에 “총적(총체적)으로 쥐어짜면”이라는 북한식 표현이 있음

⑤ 악성메일 대응 방안
- 기업 측면
> 악성메일 탐지 솔루션 도입
> 모의훈련
> 악성메일로 인한 사고 대응 절차 확인

- 사용자 측면
> 메일 발신자 주소 확인
> 링크, 첨부파일 등 확인 시 주의
> 문서파일의 ‘콘텐츠 사용’ 등 매크로 기능 주의

 

'침해사고 > 개인정보' 카테고리의 다른 글

해병대 개인정보 유출  (1) 2023.06.16
서울대학교병원 개인정보 유출  (0) 2023.05.10
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
페이스북 개인정보 유출  (0) 2022.07.26
침해 사고 정보
일자 2021/08/29
침해 정보 개인정보 (이름, 연락처, 이메일 등)
특징 미흡한 조치(직원의 실수)
피해크기 2,000명
침해 사고 분석
경위 2022.05.24 ~ 2022.06.07 2주간 "한국납부발전 유튜브 채널 - 유투브 구독 좋아요 이벤트" 행사 진행
 
② 2022.06.08 ~ 2022.06.17 9일간 파일을 첨부한 "당첨자 알림 게시" 글 작성
 
해당 게시글의 첨부파일에는 당첨자의 이름, 연락처, 이메일 등의 개인정보가 그대로 유출
 
2022.08.23 사항 인지 및 2022.08.26 홈페이지에 팝업을 통한 사과문 게시
원인 개인정보 처리와 관련된 내부 실수
- 해당 엑셀 파일에는 비당첨자 정보가 '숨김'처리 돼있었고, 이를 해제하면 고객 정보가 공개되는 내부 실수로 발생한 것
조치 ① 홈페이지에 "개인정보 유출 사과문" 팝업 게시
- 홈페이지 접속 시 사과문 전문이 확인되는 것이 아니라, 내용 클릭 후  전문을 열람할 수 있음
- 또한, "개인정보 유출여부 확인하기"를 클릭 후 유출 유무를 확인가능
 
② 내부 통제 시스템 강화 및 임직원 교육 등 조치를 취하겠다 발표
 
한국인터넷진흥원이 관련 조사를 진행하고 있으며, 결과에 따라 보상안을 마련할 것이라 발표
기타 - 개인정보보호법 제3조(개인정보 보호 원칙) 7항
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>

- 개인정보보호법 제29조(안전조치의무) 
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

- 개인정보보호법 제34조(개인정보 유출 통지 등)

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
빗썸 개인정보 유출  (0) 2022.08.24
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16

+ Recent posts

티스토리툴바