개인정보위, 안전조치 의무 위반 등 개인정보 보호 법규를 위반한 2개 사업자 제재
개인정보위, 안전조치 의무 위반 등 개인정보 보호 법규를 위반한 2개 사업자 제재
개인정보위, 안전조치 의무 위반 등 개인정보 보호 법규를 위반한 2개 사업자 제재- 외부의 불법적인 침입 발생 시 개인정보 유출 방지를 위한 접근통제 등 안전조치 철저 당부 개 - 정책브리핑 |
www.korea.kr
160만 회원정보 유출 ‘클래스유’, 과징금 맞아 ..개인정보위, KT 계열사도 제재
160만 회원정보 유출 ‘클래스유’, 과징금 맞아 ..개인정보위, KT 계열사도 제재
개인정보보호위원회는 9일 전체회의를 열고 개인정보 보호 법규를 위반한 클래스유와 케이티알파에 각각 5360만원과 491만원의 과징금을 부과했다고 10일 밝혔다.
www.boannews.com
- 클래스유 사례
- 해킹 경위 및 유출 규모
- 신원 불명의 공격자가 2023년 8월부터 2024년 7월까지 관리자 계정을 통해 DB에 접근
- 약 160만 명의 개인정보(주민등록번호, 계좌번호 등) 유출
- 관리자 계정의 탈취 경로는 명확하지 않으나, 개발자 플랫폼에 DB 접속 정보가 포함된 파일이 공개된 정황 존재
- 법령 위반 사항
- IP 기반 접근통제 미적용
- 복수의 개인정보취급자가 단일 관리자 계정 공유
- 암호화 미이행 (주민등록번호, 계좌번호)
- 목적 달성 후 신분증 사본 미파기
- 유출 통지 지연(72시간 초과)
- 행정조치
- 과징금 5,360만 원, 과태료 720만 원 부과
- 시정명령 및 위반 사실 공표명령
- 재무상황 등을 고려하여 과징금 감경 적용
- 해킹 경위 및 유출 규모
- 케이티알파 사례
- 공격 방식 및 피해 현황
- 2023년 1월~2월 기프티쇼 웹사이트 대상 크리덴셜 스터핑 공격 발생
- 4,305개 IP에서 540만 회 이상 로그인 시도, 9만 8천 계정 로그인 성공
- 이 중 51명의 개인정보 페이지 접근 및 포인트 무단 사용 발생
- 보안 미비 사항
- 이상 로그인 시도에 대한 탐지 및 차단 체계 부재
- 비인가 접근에 대한 침입 차단 시스템 미적용
- 개인정보 유출 후 24시간 경과 통지 지연
- 보완 노력 및 결과
- 웹페이지에 사전 마스킹 조치가 적용되어 실제 개인정보 유출 규모 최소화
- 과징금 491만 원, 과태료 690만 원 부과 및 위반 사실 공표
- 공격 방식 및 피해 현황
- 개인정보위의 보안 권고
- 접근통제 강화
- 개인정보처리시스템 접근은 인가된 자에 한정하고 IP 기반 통제 적용 필요
- 이상행위 탐지체계 구축
- 크리덴셜 스터핑 탐지를 위한 로그인 시도 패턴 분석, 속도제한, CAPTCHA 적용 등 필요
- 개인정보 보호 설계 강화
- 웹페이지 개인정보 마스킹, 관리자 계정 다중 사용 금지, 데이터 암호화 준수 필수
- 유출 통지 기준 준수
- 유출 사실 인지 즉시 법정기한 내(구법 기준 24시간, 현행 72시간 이내) 통지 시행
- 접근통제 강화
- 결론
- 접근통제, 암호화, 이상징후 탐지 등 기술적·관리적 보호조치의 준수가 기업의 법적 책임 회피 및 대규모 유출 방지를 위한 핵심 요소임
- 유출 통지 지연, 관리자 계정 공유, 개발환경 내 민감정보 방치 등의 사례는 전 산업 공통적으로 경계해야 할 보안 사각지대임
- 보안조치 이행에 대한 가시성 확보와 침해사고 발생 시 대응 체계 점검은 조직의 정보보호 역량 제고에 반드시 필요함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 오라클 구형 서버 해킹 사고로 인한 자격 증명 유출 및 보안 리스크 분석 (0) | 2025.05.25 |
|---|---|
| 광주교육청 공문을 통한 개인정보 노출 사례 분석 (0) | 2025.05.25 |
| Apple Pay·Google Wallet 악용한 NFC 카드 범죄 진화 분석 (0) | 2025.05.25 |
| 금융권의 자발적 ISMS-P 인증 확대 배경과 시사점 (0) | 2025.05.25 |
| 패스트 플럭스(Fast Flux) 기술 분석 및 보안 대응 방안 (0) | 2025.05.25 |