모두투어, 지난 6월 해킹 사고 인지했는데... 3개월 지나 늦장 공지
모두투어, 지난 6월 해킹 사고 인지했는데... 3개월 지나 늦장 공지
여행사업·호텔사업을 영위하고 있는 모두투어에서 최근 회원 개인정보가 유출된 것이 확인됐다며 홈페이지에 사과문을 공지했다. 모두투어의 개인정보 유출은 홈페이지 내 악성코드 삽입으로
www.boannews.com
- 사건 개요
- 모두투어는 2024년 6월 10일 홈페이지에서 악성코드가 삽입되어 회원 개인정보가 유출된 것을 확인함
- 유출된 개인정보 항목은 이름, 아이디, 생년월일, 휴대전화번호 등 7개 항목으로 밝혀짐
- 하지만 개인정보보호위원회 신고는 한 달 뒤인 7월 12일에 이루어졌고, 홈페이지 사과문 공지는 9월 13일에야 공개됨
- 유출된 개인정보 항목
- 한글 이름, 영문 이름, 생년월일, 휴대전화번호, CI(연계정보), DI(중복정보) 등 7개 항목
- 사고 대응 및 보안 조치
- 사고 인지 후 악성코드 즉시 삭제 및 무단 접속 IP 차단
- 추가적인 보안 조치로 침입방지 시스템, 웹방화벽, 웹쉘탐지 시스템 등의 보안 수준을 강화
- 비밀번호 유출은 없었으나 2차 피해 방지를 위해 비밀번호 변경 권고
- 개인정보보호법 위반 가능성
- 개인정보 보호법에 따르면, 개인정보 유출을 인지하면 72시간 내에 신고해야 하지만, 모두투어는 이를 한 달이 지나서 신고
- 9월 2일 개인정보보호위원회로부터 홈페이지 팝업 공지 요청을 받았고, 9월 13일에야 공지 시작
- 피해 규모와 추가 조사
- 모두투어의 전체 회원 수는 약 300만명, 정확한 피해 규모는 아직 파악되지 않음
- 개인정보보호위원회는 유출 규모와 신고 지연 여부에 대한 조사를 진행 중이며, 신고 지연이 정당하지 않을 경우 추가 페널티 부과 가능
- 시사점
- 보안 사고 초기 대응의 중요성
- 유출 사고 발생 시, 즉각적인 신고와 공지가 필수적이며, 이는 조직의 신뢰를 유지하는 데 중요한 요소임
- 사고 공지 지연 문제
- 피해자들에게 신속하고 투명한 공지가 이루어지지 않으면 고객 신뢰를 잃을 수 있으며, 법적 페널티도 부과될 수 있음
- 보안 강화 조치의 중요성
- 사고 발생 후 즉각적인 취약점 점검과 보안 시스템 강화는 필수이며, 이러한 조치가 늦어지면 추가 피해 가능성이 커짐
- 비밀번호 관리
- 비밀번호가 유출되지 않았더라도 2차 피해 예방을 위해 비밀번호 변경 권고와 같은 적극적인 대응이 필요함
- 보안 사고 초기 대응의 중요성
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 하반기 공포·개정된 보안 관련 법령 3가지 (1) | 2024.09.19 |
|---|---|
| 개인정보 필수동의 관행 개선 (0) | 2024.09.19 |
| CCTV 영상 열람과 개인정보보호법 위반 판결 (0) | 2024.09.19 |
| 한국, 네트워크 간 라우팅 인증 ‘RPKI’ 적용률... OECD 국가 중 최하위 (1) | 2024.09.19 |
| “자체 개발한 프레임워크로 리스크 관리 전략 강화”··· 어도비의 보안 관리 여정 (0) | 2024.09.19 |