GS리테일, 크리덴셜 스터핑 공격 받아 고객 9만명 개인정보 유출
GS리테일, 크리덴셜 스터핑 공격 받아 고객 9만명 개인정보 유출
GS 그룹 산하 유통 계열사인 GS리테일이 크리덴셜 스터핑(Credential Stuffing) 공격을 받아 개인정보 유출 사고가 발생했다. GS 리테일은 “이번 해킹 공격 방식은 ‘크리덴셜 스터핑’”이라며 “여
www.boannews.com
9만명 털린 GS리테일, 아직 관리임원 '미지정'... 정보통신망법 위반 논란 - 시장경제
9만명 털린 GS리테일, 아직 관리임원 '미지정'... 정보통신망법 위반 논란 - 시장경제
최근 해킹 공격으로 약 9만 명의 고객 개인정보가 유출된 GS리테일이 정보보호최고책임자(CISO)를 임원급으로 두지 않은 것으로 드러났다. 자산 총액이 5조원 이상임에도 CISO를 임원급으로 지정하
www.meconomynews.com
[팩트체크] GS리테일 개인정보 유출 9만 명 외 33만 명 더 있다?
[팩트체크] GS리테일 개인정보 유출 대상 9만명 외 더 있다?
'개인정보 유출' 9만 명 이어 33만 명 추가 안내받아…"나도 털렸나?"고객 혼란 가중…팩트는 "해커 로그인은 있었으나 개인정보 탈취 NO" 현행법상 개
www.etoday.co.kr
- 사건 개요
- 발생 기간: 2025년 12월 27일 ~ 2025년 1월 4일
- 유출 피해: 고객 약 9만 명의 개인정보 유출, 33만 명은 해커 로그인 시도 확인
- 유출 항목: 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일
- 공격 방식: 크리덴셜 스터핑(Credential Stuffing)
- 여러 경로에서 수집한 ID와 비밀번호를 이용해 무작위로 로그인 시도
- 사고 대응
- 해킹 사실 인지 후 공격 IP 및 패턴 차단, 피해 계정 잠금 처리
- 개인정보가 표시되는 페이지 임시 폐쇄
- 비밀번호 변경 요청 및 2차 피해 예방 안내
- 보안 체계 문제점
- CISO 임원 미지정: GS리테일은 자산 5조 이상 기업임에도 CISO를 임원급으로 지정하지 않아 정보통신망법 위반 가능성
- 정보보호 투자 부족: 정보기술(IT) 대비 정보보호 투자 비율 1.9%로 동종업계 대비 낮은 수준
- 초기 대응 부족: 개인정보 유출과 단순 로그인 시도를 구분하여 안내하지 않아 혼란 발생
- 보안 권고
- 제로트러스트 보안 체계 도입: 시스템 전반에 대한 신뢰를 최소화하고 지속적인 인증과 검증을 통해 보안 강화
- 멀티팩터 인증(MFA) 도입: 로그인 시 비밀번호 외 추가 인증 절차를 통해 보안성 강화
- 이상행위 모니터링: 비정상적 로그인 활동 탐지 및 대응 체계 강화
- 보안 인프라 투자 확대: IT 투자 대비 정보보호 비율을 적정 수준으로 상향 조정
- CISO 임원 승격: 법적 준수를 넘어 정보보호에 대한 책임과 우선순위 강화
- 결론
- 개인정보 유출 사고는 완벽히 방지할 수 없으나, 피해를 최소화하고 빠르게 복원할 수 있는 대응 체계 마련이 중요
- 고객 데이터 보유 기업은 해커의 주요 타깃이므로 보안에 대한 지속적 투자와 개선 필요
- 고객 혼란을 줄이기 위해 명확하고 신속한 의사소통 체계 마련 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 인공지능 기본법 시행을 위한 하위법령 정비단 출범 (0) | 2025.01.24 |
|---|---|
| 프록시재킹 공격 주의보: 디지털펄스 프록시웨어 사례 (0) | 2025.01.24 |
| SaaS 공격 표면이 더 이상 무시될 수 없는 4가지 이유 (0) | 2025.01.23 |
| Aviatrix Controller 취약점 악용: 백도어 및 암호화폐 채굴 공격 (0) | 2025.01.23 |
| Kong Ingress Controller 이미지의 악성 코드 발견: DockerHub 공급망 보안 침해 (0) | 2025.01.23 |