검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'유출사고'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

손해사정 플랫폼 '사고링크' 유출 데이터, 다크웹서 유통

지난달 중순께 개인정보 유출 사고가 발생한 손해사정 플랫폼 '사고링크'의 유출 데이터가 불법 해킹 포럼에서 유통되고 있는 것으로 확인됐다. 3일 본지 취재를 종합하면 불법 해킹 포럼 '다크포럼스(Darkforums)'에서 활동하는 '팝핀(p0ppin)'이라는 해커는 지난달 26일 1만2000건의 고객 및 관리자 데이터를 탈취했다는 게시글을 업로드했다. 이 해커는 "올해 1월 사고링크의 데이터를 탈취했다"며 "1만2000건의 고객 및 관리자 데이터가 유출됐다. 유출된 데이터는 휴대전화 번호, 성별, 이메일, 생년월일, 그리고 교통사고 관련 보고서 등이다"라고 밝혔다. 이어 이 해커는 해킹 성공을 인증하기 위해 2건의 샘플 데이터를 공개했다. 해당 샘플 데이터에는 2명 고객의 ▲마케팅 정보 수신동의 여부 ▲접속 운영체제 ▲성별 ▲생년월일 ▲휴대전화 번호 ▲플랫폼 내 닉네임 정보 ▲이메일 ▲이름 ▲계정 생성 날짜 ▲플랫폼 내에서 사용되는 교통사고 식별번호 등이 포함돼 있다. 공개한 샘플 데이터 중에는 해커가 '진단서'라고 주장하는 인터넷 주소(URL)도 포함돼 있다. 다만 해당 URL을 접속 가능한 형식으로 변환해 접속하면, 진단서가 아니라 사고링크의 성·연령별 심사실적 PDF 파일이 표시됐다. 앞서 사고링크는 지난달 16일 개인정보가 외부로 유출된 정황을 포착해 이와 관련, 공지를 발표한 바 있다.(☞손해사정 플랫폼 '사고링크' 개인정보 일부 유출) 공지에 따르면 유출됐을 가능성이 있는 개인정보 항목은 ▲이름 ▲성별 ▲생년월일 ▲휴대전화번호 ▲이메일 주소 ▲마케팅 정보 수신 동의 여부 ▲서비스 이용 과정에서 생성된 사고 관련 일부 정보 및 손해 산정에 활용된 정보 등이다. 해커가 공개한 데이터와 대부분 겹친다. 이어 사고링크는 당시 공지에서 "우리 시스템 내에 저장된 진단서나 손해사정서 등의 문서 파일(PDF 형태)에 대해서는 확인 가능한 범위 내에서 외부 다운로드 또는 반출 정황은 확인되지 않았다"면서 "해당 사고의 정확한 발생 시점은 현재 조사 중이다. 우리는 사고 인지 직후 비인가 접근 가능 경로 점검 및 접근 통제 강화, 보안 취약점 패치 등 재발 방지를 위한 보안 강화 조치를 지속적으로 시행하고 있다"고 밝힌 바 있다.

2026.02.03 15:36김기찬 기자

신한카드, 가맹점 대표자 휴대전화번호 19만건 유출

신한카드(사장 박창훈)에서 19만2천건의 가맹점 대표자 휴대전화번호가 유출됐다. 신한카드는 23일 일부 가맹점 대표 휴대전화번호 등 19만천여 건이 유출된 것으로 추정돼 개인정보보호위원회에 신고했다고 밝혔다. 신한카드에 따르면 유출된 정보는 가맹점 대표자의 ▲휴대전화번호 18만1천585건 ▲휴대전화번호, 성명 8천120건 ▲휴대전화번호, 성명, 생년월일, 성별 2천310건 ▲휴대전화번호, 성명, 생년월일 73건 등 총 19만2천88건으로 파악됐다. 다만 롯데카드 해킹 사태 때처럼 외부 공격으로 이번 유출 사고가 발생한 것은 아니다. 내부 직원이 신규 카드 모집 영업을 위해 해당 개인정보들을 유출한 것으로 파악됐다. 현재까지 조사에 따르면 주민등록번호 등을 포함한 개인정보와 카드번호, 계좌번호 등 신용정보는 유출되지 않은 것으로 확인됐다. 또한 가맹점 대표자의 정보 외 일반 고객 정보와도 전혀 관련이 없다. 아울러 일부 내부 직원 신규 카드 모집을 위한 일탈로 이번 유출 사고가 일어난 만큼 유출된 정보가 다른 곳으로 추가 확산될 염려도 없는 것으로 신한카드는 파악하고 있다. 이날 신한카드는 홈페이지에 유출 사실과 사과문을 공지하고 있다. 또한 가맹점 대표자가 보인의 정보가 포함됐는지 여부를 확인할 수 있는 페이지를 운영하고 있다. 개별적으로 해당 가맹점 대표자에게도 유출 사실을 통지한 것으로 알려졌다. 한편 신한카드는 현재까지 유출된 정보로 인한 피해는 없지만, 혹시 피해가 발생할 경우에는 적극적으로 피해 보상에 나설 계획이다. 신한카드는 “이번 일로 심려를 끼친 점에 대해 깊은 사과 말씀을 드리며, 고객 보호와 유사 사례 재발 방지를 위해 최선의 노력을 다할 것”이라면서 “해당 사안이 '목적 외 개인정보 이용'인지, '정보 유출'인지 추가 조사를 통해 확인해야할 필요가 있으나, 적극적인 고객 보호를 위해 '정보 유출'에 준하는 조치를 취하고 있다”고 말했다.

2025.12.23 16:36김기찬 기자

쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마

롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사고가 발생하면서 정보보호·개인정보보호 관리체계(ISMS-P) 인증제 실효성 논란이 더욱 거세지고 있다. 롯데카드는 ISMS-P 인증을 획득한 지 이틀만에 침해사고를 겪었고, 쿠팡은 2021년 최초 인증 획득 후 갱신까지 마친 상태였다. 1일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료한 상태였으나, 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사 중이다. 쿠팡은 올해 6월 24일부터 개인정보에 외부 접근이 이뤄진 것으로 추정하고 있다. 그러나 개인정보 유출을 인지한 시점은 지난달 18일로, 현재 경찰청, 한국인터넷진흥원(KISA), 개인정보보호위원회 등에 신고를 마친 상태다. 침해사고의 원인은 퇴사자 인증키 방치가 지목된다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 1일 "쿠팡 로그인 시스템 토큰 생성에 필요한 서명 정보를 담당하던 직원이 퇴사했음에도 권한을 삭제하거나 갱신하지 않고 방치해 퇴사한 내부 직원이 이를 악용한 것"이라고 분석했다. 회사는 무단 접근 경로를 차단했으며, 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 보안 정책 수립 여부, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 평가한다. 그러나 롯데카드 사태 때부터 이번 쿠팡까지 ISMS-P 인증을 받은 기업들의 잇단 침해사고가 터져 나오면서 인증 자체의 실효성에 대한 실효성 논란이 불거지고 있다. 상시적인 검증 체계도 없고 형식적인 문서적 검사에 그치는 것이 아니냐는 지적이 나오는 것이다. ISMS-P 인증을 주관하는 한국인터넷진흥원(KISA)의 원장을 지낸 이원태 국민대 특임교수 역시 이번 사태를 계기로 ISMS-P 인증 체계에 대한 지적을 자신의 SNS에 남겼다. 그는 "쿠팡은 정부가 인증하는 정보보호 관리체계(ISMS-P)를 취득하고 갱신까지 한 기업이었다"며 "인증을 받고도 기본적인 퇴사자 권한 관리조차 작동하지 않았다는 사실은, 현재의 제도가 실질적 방어력보다는 문서와 절차를 맞추는 '보안 극장(Security Theater)'에 불과함을 여실히 보여준다"고 비판했다. 이 교수는 현행 ISMS-P 등 문서 중심 인증 체계를 실시간 행위 기반 모니터링 중심으로 전환할 것을 주문했다. ISMS-P 인증이 실효성 논란을 빚자 개인정보보호위원회는 이를 개선하겠다고 밝혔다. 송경희 개인정보보호위원회 위원장은 지난달 5일 서울 종로구 정부서울청사에서 열린 '출입기자단 브리핑'에서 현재 유효기간이 3년인데, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하겠다고 말했다. 또 예비심사제도 새로 도입하고 공공기관도 ISMS-P 인증 의무화를 단계적으로 추진하겠다고 밝혔다. 현재 2억에 불과한 관련 예산도 내년에는 증액할 예정이다.

2025.12.01 22:35김기찬 기자