| 침해 사고 정보 | |
| 일자 | 2016/05/03 |
| 침해 정보 | -일반회원 > 인터파크: 아이디, 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 > 제휴사: 아이디 - 탈퇴회원: 아이디 - 휴먼회원: 아이디, 암호화된 비밀번호 |
| 특징 | 악성코드가 첨부된 메일_APT 의심 |
| 피해크기 | 약 2,665명 (일반회원 약 1,340만명, 탈퇴회원 173만명, 휴먼회원 1,152만명) |
| 침해 사고 분석 | |
| 경위 | ① 악성코드를 심은 이메일 발송 (피싱 or 스피어 피싱) ② 메일 열람 후 악성코드 감염, 감염 PC를 이용해 DB 서버 데이터 유출로 이어짐 - 메일을 열람한 A의 PC 감염 - 악성코드는 A의 PC를 매개로 다수 단말에 악성코드 설치하여 내부정보 수집 > A의 PC로 파일공유서버 접속 및 악성코드 설치, Brute-Force Attack 수행 - DB 서버에 접근 가능한 개인정보취급자PC의 제어권 획득 > 기존 연결 상태를 이용해 DB 서버 접속 - DB 서버 접속 및 개인정보 탈취·유출 > B의 PC를 경유해 개인정보 PC 및 DB서버에 재접속 > DB 서버의 개인정보 탈취하여 웹 서버->취급자 PC->B PC를 거쳐 외부 유출 > 인터파크 회원정보 약 2,665건이 보관된 파일을 16개로 분할하고 직원PC를 경유하여 외부로 유출 ③ 추적을 피하기 위해 해외 IP를 경유해 인터파크 DB 서버에 접속 ④ 해커는 인터파크에 30억 원 상당의 비트코인 요구 메일을 7/11 보냄으로써, 인터파크는 침해 사실 인지 |
| 원인 | ① 스팸, 사칭 메일에 대한 인식 부족 - 국가기관 사칭 E메일을 수신한 759명 중 약5%(20명 중 1명)는 정상메일로 인지 ② 당시 인터파크에 패스워드 관리 및 서버 접근통제 관리 등이 미흡했던 것으로 판단됨 |
| 조치 | ① 외국과 공조수사 ② 피해자들은 손해배상 소송 청구 - 2020년 회원들에게 1인당 10만원씩 지급 판결 > 유출된 회원들의 개인정보는 모두 개인을 식별할 수 있다는 점 > 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해로 확산 가능한 점 > 뒤늦은 통지로 회원들이 유출에 신속히 대응할 수 있는 기회를 상실하게 한 점 > 유출된 정보가 추가적 피해로 이어졌다는 등으로 볼 자료는 제출되지 않았다는 점 > 소비자에게 서비스를 제공함에 있어 고객의 개인정보를 수집·보관이 필요하다는 점 ③ 인터파크는 해커의 협박 메일로 7월 유출 사실을 인지(실제 사고로부터 2개월 뒤)하였으며, 그로부터 14일 뒤 이를 통지 > 7/11 APT 형태의 공격에 의한 침해 사실 인지 > 7/12 경찰청 사이버 안전국에 신고, 공조 시작 > 7/25 홈페이지 공지 사항에 침해 사고 관련 공지 게재 ④ 국가부처의 지원 및 조치 - 미래부 (현재의 과기부) > 인터파크 조사 중 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시 - 방통위 > 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해 사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치 > 개인정보 보호조치 위반 관련 사항에 대해서는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정 |
| 기타 | ① 유출된 정보는 개인별로 차이가 있음 > 주민번호, 금융정보는 유출되지 않았으며 > 비밀번호는 암호화되어 있어 안전하다고 발표 ② 인터파크는 2015년 개인정보관리체계(PIMS) 인증을 획득 받아, 유출 이후 피해 최소화에 방안을 세워 두었음 ③ 당시 조사 결과 > 기업이 침해를 인지하는 경우는 31%로, 69%는 감사, 협박, 언론 공개 등으로 인지 > 공격자의 침입 후 평균 205일(6개월) 지나서 침해 사실을 인지 ④ 해당 사건은 북한 정찰총국의 소행으로 결론 > 해킹에 사용된 IP와 악성코드가 북한이 과거 사이버테러에 동원한 것과 유사하며, > 임원이 받은 협박 전자우편에 “총적(총체적)으로 쥐어짜면”이라는 북한식 표현이 있음 ⑤ 악성메일 대응 방안 - 기업 측면 > 악성메일 탐지 솔루션 도입 > 모의훈련 > 악성메일로 인한 사고 대응 절차 확인 - 사용자 측면 > 메일 발신자 주소 확인 > 링크, 첨부파일 등 확인 시 주의 > 문서파일의 ‘콘텐츠 사용’ 등 매크로 기능 주의 |
'침해사고 > 개인정보' 카테고리의 다른 글
| 해병대 개인정보 유출 (1) | 2023.06.16 |
|---|---|
| 서울대학교병원 개인정보 유출 (0) | 2023.05.10 |
| 한국남부발전 개인정보 유출 (0) | 2022.08.31 |
| 빗썸 개인정보 유출 (0) | 2022.08.24 |
| 페이스북 개인정보 유출 (0) | 2022.07.26 |