300만 건 이상 개인정보 유출한 모두투어, 과징금 7억4000만원 부과
300만 건 이상 개인정보 유출한 모두투어, 과징금 7억4000만원 부과
개인정보위는 지난해 해킹 공격으로 이용자 300만 명 이상의 개인정보가 유출된 여행사 모두투어에 7억원이 넘는 과징금을 부과했다.
www.boannews.com
- 사건 개요
- 2024년 6월 모두투어 웹사이트의 파일 업로드 취약점을 악용한 웹셸(Web Shell) 공격 발생
- 공격자는 악성코드를 삽입해 회원 및 비회원 총 306만여 명의 개인정보를 탈취
- 유출된 개인정보 항목: 이름, 생년월일, 성별, 휴대전화 번호
- 주요 법 위반 내용 및 기술적 보안 미흡사항
- 개인정보보호법 제29조(안전조치 의무) 위반
- 웹페이지에 업로드된 파일에 대한 확장자 검증 미비
- 실행 권한 제한 조치 미이행, 웹셸 공격 차단 실패
- 접근통제 장치 부족으로 비인가 접근 탐지·차단 실패
- 개인정보보호법 제21조(개인정보의 파기) 위반
- 2013년 이후 수집된 비회원 정보 316만여 건을 보유기간 경과 후에도 파기하지 않음
- 과도한 보유로 인해 유출 규모가 대형화
- 개인정보보호법 제34조(유출 통지의무) 위반
- 유출 인지 시점: 2024년 7월
- 통지 시점: 2024년 9월 (2개월 지연)
- 피해자 통보 의무 지연으로 정보주체 권리 보호 미흡
- 개인정보보호법 제29조(안전조치 의무) 위반
- 행정처분 내역
- 과징금: 7억4,720만원
- 과태료: 1,020만원
- 해당 처분은 2025년 제6회 개인정보보호위원회 전체회의에서 의결
- 보안 권고
- 웹셸 탐지 및 대응 시스템 강화
- 웹서버에 업로드된 파일에 대한 화이트리스트 기반 확장자 검사 필요
- 실행 권한 제한 및 파일 무결성 검사 체계 구축
- 장기 미사용 개인정보 파기 정책 정비
- 비회원 및 장기 미접속 고객 정보 자동 삭제 시스템 도입 필요
- 정기적인 개인정보 파기 이행 여부 점검 필수
- 개인정보 유출 통지 프로세스 체계화
- 유출 사실 인지 즉시 정보주체에게 법정 기한 내 통지 필요
- 유출 사고 대응 계획 수립 및 모의훈련 필요
- 웹 보안 취약점 점검 정기화
- OWASP Top 10 기반 보안점검 수행
- 파일 업로드 취약점, 디렉토리 탐색, 코드 실행 가능성 등 정기 검사
- 웹셸 탐지 및 대응 시스템 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 베어메탈 클라우드, 언제 선택해야 하는가 (0) | 2025.04.15 |
|---|---|
| 메타, 동의 없는 개인정보 제3자 제공 사건 대법원 최종 패소 (0) | 2025.04.15 |
| Ballista 봇넷, TP-Link 취약점 악용한 IoT 감염 캠페인 분석 (0) | 2025.04.15 |
| Medusa 랜섬웨어 위협 분석 보고서 (2025년 3월 기준) (0) | 2025.04.15 |
| MirrorFace APT 그룹의 Windows Sandbox 악용 공격 분석 (0) | 2025.04.15 |