침해 사고 정보
일자 2021/08/29
침해 정보 개인정보 (이름, 연락처, 이메일 등)
특징 미흡한 조치(직원의 실수)
피해크기 2,000명
침해 사고 분석
경위 2022.05.24 ~ 2022.06.07 2주간 "한국납부발전 유튜브 채널 - 유투브 구독 좋아요 이벤트" 행사 진행
 
② 2022.06.08 ~ 2022.06.17 9일간 파일을 첨부한 "당첨자 알림 게시" 글 작성
 
해당 게시글의 첨부파일에는 당첨자의 이름, 연락처, 이메일 등의 개인정보가 그대로 유출
 
2022.08.23 사항 인지 및 2022.08.26 홈페이지에 팝업을 통한 사과문 게시
원인 개인정보 처리와 관련된 내부 실수
- 해당 엑셀 파일에는 비당첨자 정보가 '숨김'처리 돼있었고, 이를 해제하면 고객 정보가 공개되는 내부 실수로 발생한 것
조치 ① 홈페이지에 "개인정보 유출 사과문" 팝업 게시
- 홈페이지 접속 시 사과문 전문이 확인되는 것이 아니라, 내용 클릭 후  전문을 열람할 수 있음
- 또한, "개인정보 유출여부 확인하기"를 클릭 후 유출 유무를 확인가능
 
② 내부 통제 시스템 강화 및 임직원 교육 등 조치를 취하겠다 발표
 
한국인터넷진흥원이 관련 조사를 진행하고 있으며, 결과에 따라 보상안을 마련할 것이라 발표
기타 - 개인정보보호법 제3조(개인정보 보호 원칙) 7항
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>

- 개인정보보호법 제29조(안전조치의무) 
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

- 개인정보보호법 제34조(개인정보 유출 통지 등)

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
빗썸 개인정보 유출  (0) 2022.08.24
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16
침해 사고 정보
일자 2017/06/30
침해 정보 개인정보_스피어피싱 (이름, 이메일, 전화번호, 거래건수, 거래량, 거래금액)
개인정보_사전대입공격 (홈페이지 ID, 패스워드)
특징 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱
피해크기 3만명
침해 사고 분석
경위 해커는 빗썸 직원 채용기간 중 A씨에게 스피어피싱 메일 발송
* 스피어피싱: 특정 대상이나 기업을 상대로 정상적인 메일로 가장하여 악성코드를 실행하도록 하는 공격 유형
 
② 해당 메일에는 원격제어형 악성코드가 포함되어 있었으며, 이를 실행한 A씨의 PC가 악성코드에 감염됨
 
해커는 A씨가 B씨로부터 이메일로 전송받아 저장 중이던 개인정보파일(2017년 회원관리 정책) 등 다수의 파일을 외부로 유출
 
해커는 유출한 파일을 이용해 사전대입공격을 시도, 무단 출금을 시도한 것으로 판단됨
* 사전대입공격: 공격자가 미리 준비한 ID/PW를 하나씩 모두 대입하는 공격 유형
원인 방통위와 KISA의 현장조사 결과 하기 사항을 소홀 하였으며, 위반한 것으로 결론
- 개인정보처리시스템에 접속한 IP등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점
- 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장 한 점
- 백신 소프트웨어 업데이트를 실시하지 않은 점 등 다수 위반
조치 ① 유출된 파일과, 무단 출금 사고로 민원을 제시한 사용자의 접속 기록 조사 결과
   3,434IP에서 약 2백만 번의 사전대입공격을 수행하였으며,
   이 중 4,981개 계정은 로그인 성공, 266개 계정은 로그인 후 출금 로그가 확인됨
 
② 방통위는 규정 미준수로 인한 취약점이 해킹에 직·간접적으로 악용된 점
   해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려해
   - 과징금 4,350만원 / 과태료 1,500만원 / 책임자 징계권고
     위반행위 중지 및 재발방지대책 수립 시정 명령 / 시정명령 처분사실 공표 등 처분
 
사용자 A는 빗썸을 상대로 손해배상 청구하였으나, 빗썸에 민사 보상 책임은 없다 판결
- 사용자 로그인 시 메시지로 로그인 알람이 발생하는데, A씨의 행위인지 해커의 행위인지 불확실
- 추가적으로, A씨 본인 내지는 적어도 계정 접속 등의 권한을 위임받은 사람임을 확인하는 절차를 거쳤다고 보는 것이 타당하다는 입장
- A의 정보가 유출된 파일에 포함되어 있을 가능성이 있다 할지라도,
사전대입공격으로 해킹한 4981개의 계정에 A씨의 계정이 있다고 확신할 수 없다
- 빗썸이 개인정보를 유출당한 회원들에게 비밀번호 변경, 출금 제한 조치 등의 적절한 후속조치를 취하였다.

 빗썸은 피해를 입은 사용자에게 1인당 10만원의 보상금 지급
실제 피해를 입은 사용자에게는 전액 보상하겠다고 밝힘
기타 - 빗썸은 개인정보 유출 고객들에게 발송한 이메일에도 유출된 사람들의 개인정보가 담긴 액셀문서를 발송한 것으로 알려져 2차피해가 우려됨.
추가적으로, 누구든지 열람 가능한 페이스트빈에 노출되어있었음.
 
- 한글워드 EPS 취약점을 이용해 악성코드 삽입
EPS(Encapsulated PostScript)는 어도비(Adobe)에서 만든 포스트스크립트(PostScript) 프로그래밍 언어를 이용해 그래픽 이미지를 표현하는 파일
EPS를 통해 각종 고화질 벡터 이미지를 표현할 수 있어 한글 프로그램에서는 문서에 EPS 이미지를 포함하거나 볼 수 있는 기능을 제공.
악성 EPS 파일은 실행 방식 및 기능에 따라 EPS 취약점을 이용한 익스플로잇으로 쉘코드를 실행하거나 정상적인 문법 패턴을 이용해 악성 파일을 생성.
 
- 빗썸이 위반한 사항
개인정보 보호조치 (접근통제) §28①2, 시행령§15②2, 고시 §4⑤
- 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀
- 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시
- ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함.

② 개인정보 보호조치 (암호화) 법 §28①제4호, 시행령§15④제4호, 고시 §6④
-  개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장

③ 개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호, 시행령§15⑤, 고시 §7
- 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시

④ 개인정보 보호조치 (기타 보호조치) 법 §28①제6호, 시행령§15, 고시 §9②
- 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음
- 시스템 담당자가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀

 

- 참고

 

방송통신위원회 누리집 > 알림마당 > 보도자료 상세보기(가상통화 거래사이트 <빗썸> 개인정보

□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조

kcc.go.kr

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16
침해 사고 정보
일자 2021/04/03
침해 정보 개인정보 (아이디, 이름, 휴대폰 번호, 거주지, 생일, 이메일 주소)
특징 스크래핑
피해크기 53300만명 (한국 12만명)
침해 사고 분석
경위 해킹 관련 온라인 게시판에 페이스북 이용자의 개인정보가 공개
   106개국 53300만명의 데이터로, 이중 한국인은 약 12만명
 
② 페이스북은 해당 데이터는 2019년 이미 보도된 데이터로, 현재는 수정한 상태 발표
원인 ① 2019년 발견된 페이스북 스크래핑 관련 이슈
- 스크래핑이란 웹 사이트에서 필요한 데이터를 긁어오는 것
Cf) 크롤링이란 수많은 웹 사이트를 체계적으로 돌아다니면서 URL, 키워드 등을 수집

- 당시 페이스북에는 전화번호로 사용자를 찾는 기능이 존재
  A사용자를 찾고 싶은 경우 A의 전화번호를 입력하면 찾을 수 있었음
  A의 페이지로 들어가면 친구가 아니어도, A가 전체공개한 정보를 볼 수 있었음 
  해당 정보에 이름, 거주지, 출신학교 등의 정보가 포함되어 있었고, 이를 수집한 것

- 해커들이 이러한 방식으로 개인정보를 수집한다는 내용이 보도됐고,
  페이스북은 20198월에 해당 기능 삭제 및 개인정보 보호 관련 기능 강화 주장
조치 ① 페이스북은 202146일 해당 사실 인정
 
페이스북은 데이터 스크래핑 등 위반 행위를 조사하는 전담팀을 만들어 대응 중으로 발표
 
페이스북은 유출 사실을 피해자에 알리지 않음
- 보안 전문가들은 페이스북에 사회공학공격 등 2차 피해를 막기위해 피해 사실 통지 촉구
기타 - 페이스북의 개인정보 유출 사건 다수
2016년 미 대선 즈음 영국 정치 컨설팅업체가 정치 광고 목적 8천만명 데이터 불법 수집
2019년 이용자 26700만명 개인정보 유출

 

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
한국남부발전 개인정보 유출  (0) 2022.08.31
빗썸 개인정보 유출  (0) 2022.08.24
카드 3사 개인정보 유출  (0) 2022.07.16

+ Recent posts

티스토리툴바