GS리테일, 홈쇼핑만 158만건 개인정보 유출
GS리테일에서 개인정보가 유출됐다. 유출정보는 홈쇼핑과 편의점 사이트 개인정보로 생년월일, 연락처 등이다. 이용자는 스미싱 등 2차 피해를 입지 않도록 각별한 주의가 필요하다.
www.boannews.com
- 사건 개요
- GS리테일에서 홈쇼핑과 편의점 웹사이트를 대상으로 약 158만 건의 고객 개인정보가 유출되는 사고 발생
- 이번 사고는 크리덴셜 스터핑(Credential Stuffing) 공격으로 인해 발생
- 유출된 개인정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일, 기혼 여부, 결혼기념일, 개인통관고유부호 등 총 10개 항목
- 유출 원인 및 공격 방식
- 타 사이트에서 유출된 아이디와 비밀번호를 활용한 무작위 대입 공격
- 크리덴셜 스터핑은 자동화된 도구를 사용해 다수의 계정에 로그인 시도를 하는 공격 방식
- 과거에는 단일 IP에서 로그인 시도를 했지만, 최근에는 봇넷(Botnet)을 이용해 여러 IP에서 시도하며 탐지를 회피
- GS리테일의 대응 조치
- 해킹 시도 IP 및 공격 패턴 차단
- 홈쇼핑 웹사이트 계정 잠금 처리
- 로그인 시 본인 확인 절차 강화
- 고객들에게 비밀번호 변경 권고 메시지 발송
- 보안 전문가의 의견 및 권고 사항
- 크리덴셜 스터핑 방어법
- 일정 횟수 이상의 로그인 실패 시 계정 잠금 기능 적용
- IP 기반의 로그인 시도 통계 분석을 통한 비정상적 접근 탐지
- CAPTCHA 적용 및 다중 인증(Multi-Factor Authentication, MFA) 강화
- 시스템 전체 로그인 시도 및 실패 건수에 대한 통계 분석 필요
- 사용자 보안 수칙
- 동일한 비밀번호를 여러 사이트에서 사용하지 않기
- 비밀번호 관리 프로그램 활용 및 정기적인 비밀번호 변경
- 스미싱 및 피싱 메시지 주의
- 크리덴셜 스터핑 방어법
- 기업을 위한 보안 강화 방안
- 정보보호 조직, 물리적 및 기술적 보호조치 고도화
- 보안 솔루션 투자 및 보안 전문인력 확충
- 정기적인 로그인 보안 테스트 및 취약점 평가 시행
- 시스템 모니터링 및 침입 탐지 시스템(IDS) 운영 강화
- 결론
- 이번 사고는 크리덴셜 스터핑의 위험성을 다시 한번 확인시켜주는 사례
- 기업은 외부 유출된 계정 정보에 대해 사전 예방적 차단 정책을 마련해야 함
- 사용자는 비밀번호 관리 및 개인 정보 보호에 더욱 신경 써야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 딥시크 사칭 피싱 사이트 급증 및 북한 라자루스 그룹 악성코드 유포 경고 (0) | 2025.03.11 |
|---|---|
| 개인정보보호위원회, SQL 인젝션 공격으로 인한 개인정보 유출 사고에 과징금 부과 (0) | 2025.03.11 |
| SOC 3.0, AI를 통한 보안 운영 센터(SOC)의 진화와 인재 역량 강화 (0) | 2025.03.10 |
| MITRE, AI 보안 도전과제 해결 위한 OCCULT 프레임워크 발표 (0) | 2025.03.10 |
| Krpano 프레임워크 취약점 악용해 350개 이상 웹사이트에 스팸 광고 삽입 (1) | 2025.03.10 |