침해 사고 정보
일자 2017/06/30
침해 정보 개인정보_스피어피싱 (이름, 이메일, 전화번호, 거래건수, 거래량, 거래금액)
개인정보_사전대입공격 (홈페이지 ID, 패스워드)
특징 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱
피해크기 3만명
침해 사고 분석
경위 해커는 빗썸 직원 채용기간 중 A씨에게 스피어피싱 메일 발송
* 스피어피싱: 특정 대상이나 기업을 상대로 정상적인 메일로 가장하여 악성코드를 실행하도록 하는 공격 유형
 
② 해당 메일에는 원격제어형 악성코드가 포함되어 있었으며, 이를 실행한 A씨의 PC가 악성코드에 감염됨
 
해커는 A씨가 B씨로부터 이메일로 전송받아 저장 중이던 개인정보파일(2017년 회원관리 정책) 등 다수의 파일을 외부로 유출
 
해커는 유출한 파일을 이용해 사전대입공격을 시도, 무단 출금을 시도한 것으로 판단됨
* 사전대입공격: 공격자가 미리 준비한 ID/PW를 하나씩 모두 대입하는 공격 유형
원인 방통위와 KISA의 현장조사 결과 하기 사항을 소홀 하였으며, 위반한 것으로 결론
- 개인정보처리시스템에 접속한 IP등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점
- 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장 한 점
- 백신 소프트웨어 업데이트를 실시하지 않은 점 등 다수 위반
조치 ① 유출된 파일과, 무단 출금 사고로 민원을 제시한 사용자의 접속 기록 조사 결과
   3,434IP에서 약 2백만 번의 사전대입공격을 수행하였으며,
   이 중 4,981개 계정은 로그인 성공, 266개 계정은 로그인 후 출금 로그가 확인됨
 
② 방통위는 규정 미준수로 인한 취약점이 해킹에 직·간접적으로 악용된 점
   해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려해
   - 과징금 4,350만원 / 과태료 1,500만원 / 책임자 징계권고
     위반행위 중지 및 재발방지대책 수립 시정 명령 / 시정명령 처분사실 공표 등 처분
 
사용자 A는 빗썸을 상대로 손해배상 청구하였으나, 빗썸에 민사 보상 책임은 없다 판결
- 사용자 로그인 시 메시지로 로그인 알람이 발생하는데, A씨의 행위인지 해커의 행위인지 불확실
- 추가적으로, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 보는 것이 타당하다는 입장
- A의 정보가 유출된 파일에 포함되어 있을 가능성이 있다 할지라도,
사전대입공격으로 해킹한 4981개의 계정에 A씨의 계정이 있다고 확신할 수 없다
- 빗썸이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 등의 적절한 후속조치를 취하였다.

빗썸은 피해를 입은 사용자에게 1인당 10만원의 보상금 지급

실제 피해를 입은 사용자에게는 전액 보상하겠다고 밝힘
기타 - 빗썸은 개인정보 유출 고객들에게 발송한 이메일에도 유출된 사람들의 개인정보가 담긴 액셀문서를 발송한 것으로 알려져 2차피해가 우려됨.
추가적으로, 누구든지 열람 가능한 페이스트빈에 노출되어있었음.
 
- 한글워드 EPS 취약점을 이용해 악성코드 삽입
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일
EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성.
 
- 빗썸이 위반한 사항
개인정보 보호조치 (접근통제) §28①2, 시행령§15②2, 고시 §4⑤
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀
- 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시
- ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함.

② 개인정보 보호조치 (암호화) 법 §28①제4호, 시행령§15④제4호, 고시 §6④
-  개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장

③ 개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호, 시행령§15⑤, 고시 §7
- 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시

④ 개인정보 보호조치 (기타 보호조치) 법 §28①제6호, 시행령§15, 고시 §9②
- 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음
- 시스템 담당자가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀

 

- 참고

 

방송통신위원회 누리집 > 알림마당 > 보도자료 상세보기(가상통화 거래사이트 <빗썸> 개인정보

□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조

kcc.go.kr

 

침해 사고 정보
일자 2021/04/03
침해 정보 개인정보 (아이디, 이름, 휴대폰 번호, 거주지, 생일, 이메일 주소)
특징 스크래핑
피해크기 53300만명 (한국 12만명)
침해 사고 분석
경위 해킹 관련 온라인 게시판에 페이스북 이용자의 개인정보가 공개
   106개국 53300만명의 데이터로, 이중 한국인은 약 12만명
 
② 페이스북은 해당 데이터는 2019년 이미 보도된 데이터로, 현재는 수정한 상태 발표
원인 ① 2019년 발견된 페이스북 스크래핑 관련 이슈
- 스크래핑이란 웹 사이트에서 필요한 데이터를 긁어오는 것
Cf) 크롤링이란 수많은 웹 사이트를 체계적으로 돌아다니면서 URL, 키워드 등을 수집

- 당시 페이스북에는 전화번호로 사용자를 찾는 기능이 존재
  A사용자를 찾고 싶은 경우 A의 전화번호를 입력하면 찾을 수 있었음
  A의 페이지로 들어가면 친구가 아니어도, A가 전체공개한 정보를 볼 수 있었음 
  해당 정보에 이름, 거주지, 출신학교 등의 정보가 포함되어 있었고, 이를 수집한 것

-
해커들이 이러한 방식으로 개인정보를 수집한다는 내용이 보도됐고,

  페이스북은 20198월에 해당 기능 삭제 및 개인정보 보호 관련 기능 강화 주장
조치 ① 페이스북은 202146일 해당 사실 인정
 
페이스북은 데이터 스크래핑 등 위반 행위를 조사하는 전담팀을 만들어 대응 중으로 발표
 
페이스북은 유출 사실을 피해자에 알리지 않음
- 보안 전문가들은 페이스북에 사회공학공격 등 2차 피해를 막기위해 피해 사실 통지 촉구
기타 - 페이스북의 개인정보 유출 사건 다수
2016년 미 대선 즈음 영국 정치 컨설팅업체가 정치 광고 목적 8천만명 데이터 불법 수집
2019년 이용자 26700만명 개인정보 유출

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
카드 3사 개인정보 유출  (0) 2022.07.16
침해 사고 정보
일자 2014/01/08
침해 정보 개인정보 (주민번호, 연락처, 집 주소 등)
금융정보 (결제일, 신용한도 금액, 신용등급 등)
특징 내부 직원에 의한 유출
피해크기 모든 국민 정보 유출
침해 사고 분석
경위 2013 KB카드, 롯데카드, 농협카드가 KCB에 부정사용방지(FDS) 업그레이드 용역
> FDS(Fraud Detection System): 고객의 평소 카드 사용형태를 분석해 이상한 거래가 나타나면 카드거래를 승인을 하지 않는 시스템
 
KCB 담당 직원이 2012.10~2013.12까지 USB로 카드 고객들의 개인정보 유출
     KB 5300만건, 롯데 2600만건, 농협 2500만건, 도합 1400만건(중복포함)
 
유출 정보를 대출광고업자에 1650만원 판매 대출광고업자들은 2300만원에 판매
 
해당 카드사들은 유출 사실을 인지하지 못했고, 7개월 뒤인 20141월 검찰의 발표에 의해 알려짐
원인 전자금융감독 및 보안 규정 위반
- 물리적 보안 등 보안 규정의 부제
- 전자금융감독 규정: 전산 프로그램 실험 시 실데이터의 사용을 금지
- 카드 3사는 고객 정보를 변환없이 그대로 제공
* 당시 3사의 전자금융감독 규정 위반 사항
- 국민카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지 위반
- 롯데카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반
- NH카드: 전산장비 반입 통제, 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반
 
② 접근 통제 부제
- 용역 직원이 사용한 PC에는 USB 통제 프로그램이 설치되지 않음
 
③ 당국의 소극적 대처
-당시 정보 유출 사건 발생 시 기업 주의조치와 600만원 정도의 징계
조치 ① 금융위원회
- "금융분야 개인정보 유출 재발방지 종합대책" 발표
> 현황/문제점 및 재발방지를 위한 향후 계획을 발표
> 문제점
⒜ 과도한 수집 관행: 영업에 필수적이지 않은 정보까지 수집하여 장기간 보유
⒝ 포괄적 동의 관행: 제3자 제공시 목적도 불분명한 “포괄적 동의” 등으로 인해 사실상 동의가 강요
⒞ 권리보장 미흡: 개인정보 제공에 대한 ‘자기정보 결정권’이 실질적으로 보장되지 못함
⒟ 불법정보 수요: 대출모집인 등이 “무차별적” 모집․권유 영업을 하는 과정에서, 불법정보의 수요처로 작용
⒠ 내부통제 부실: 주요 의사결정자에 대해 정보보호 현황에 대해 충분한 보고가 이루어지지 않고, 관심이 부족
⒡ 불충분한 제재: 정보유출시 금융회사 등에 대한 제재 수준이 미미하여 재발방지 효과가 미흡

> 계획
⒜ 정보수집을 최소화하고 보관기간을 5년으로 단축하는 등 정보를 체계적으로 엄격히 관리
⒝ 주민등록번호는 최초 거래시에만 수집하되, 번호 노출이 최소화되는 방식으로 수집(예: key-pad 입력)하고, 암호화하여 보관
⒞ 정보 제공 등의 동의서 양식을 중요 사항은 잘 보이도록 글씨를 크게 하고 필수사항에 대한 동의만으로 계약이 체결되도록 전면 개편
⒟ 금융회사의 개인정보 이용․제공 현황을 조회하고, 영업목적 전화에 대한 수신 거부(Do-not-Call) 등록 등을 위한 시스템 구축
⒠ 임원 등의 정보보호․보안관련 책임을 강화하고, 불법정보 활용․유출과 관련한 금전적․물리적 제재를 대폭 강화 
⒡ 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제를 강화하는 한편, 카드결제 정보가 안전하게 처리되도록 단말기를 전면 교체
⒢ 금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보유출시 대응 매뉴얼(Contingency Plan)마련 및 비상 대응체계 구축

② 32014/02/17~2014/05/16 영업정지 처분 및 벌금 (현행법 상 최고 수준 제재)

 
③ 카드 3사의 허술한 유출 확인 방법
- 국민카드: 이름, 생년월일, 주민번호 끝자리로 유출 여부 확인 -> 주요 인사들의 개인정보 유출로 이어짐
- NH카드: 유출 확인 페이지에 입력한 정보를 암호화 없이 평문 전송 -> 스니핑으로 인한 추가 유출로 이어짐
- 그 외: Active X로 인한 불편함, 사용자 급증에 따른 장애
 
 3사 카드 사용자들은 2014/01/20 손해배상 청구결과
- 유출 고객에게 각각 10만원씩 위자료 배상 판결(2018 국민, 농협 판결, 2019 롯데 판결)
 
KCB는 국민에 404억원, 농협에 180억 배상 판결(2022)
기타 - 2015 보안 컨설팅 업체 젬알토에서 2014 최악의 개인정보 유출사례 선정
 
- 전자금융감독규정 제12(단말기 보호대책) 4
정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조기억매체 및 휴대용 전산장비에 접근하는 것을 통제할 것
 
- 전자금융감독규정 제13(전산자료 보호대책) 10
이용자 정보의 조회ㆍ출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 법인인 이용자 정보는 금융감독원장이 정하는 바에 따라 이용자의 동의를 얻은 경우 테스트 시 사용 가능하며, 그 외 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)
 
- 전자금융감독규정 제13(전산자료 보호대책) 4
전산자료 및 전산장비의 반출ㆍ반입을 통제할 것
 
- 삼성카드, 신한카드는 전자금융감독규정 준수 및 암호화 프로그램 등을 이용해 피해 無
 
- 전 국민이 피해를 입어 주민등록번호 등을 바꾸는 법 신설

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
페이스북 개인정보 유출  (0) 2022.07.26

+ Recent posts