네이버 스마트스토어 판매자 73만명 정보 다크웹 유통

• 사고 개요
  • 네이버 스마트스토어 판매자 73만명의 개인정보가 다크웹에서 매물 형태로 유통
  • 포함된 정보: 상호명, 업종, 판매자 이름, 생년월일, 전화번호, 이메일 등
  • 1월 4일경 최초 유출, 6월 초까지 유통 지속 확인
  • 상당수는 운영 중단된 스마트스토어 판매자로 파악
• 기업 입장 및 해명
  • 네이버는 해당 정보가 전자상거래법에 따른 공개 정보이며 해킹 흔적은 없었다고 발표
  • 자동 프로그램에 의한 수집 방지를 위해 캡챠(CAPTCHA), 무작위 URL 삽입 등 방어조치 시행 중
  • 개인정보보호위원회 및 KISA와 협조하여 피해 확산 방지 노력 중
• 보안 전문가 분석
  • 운영 종료된 판매자 정보만을 선별한 정제된 형태라는 점에서 단순 크롤링 가능성 낮음
  • 일부 정보(예: 생년월일)는 웹페이지에서 공개되지 않음 → 비공개 영역 접근 또는 내부 유출 가능성 존재
  • 표적 피싱, 보이스피싱, 스미싱 등으로 악용될 수 있는 조합된 개인정보라는 점에서 2차 피해 가능성 높음
• 법적 쟁점
  • 전자상거래법 제20조 제2항 및 시행령 제25조 제2항은 운영 중인 판매자에 한해 소비자 대상 정보 제공을 허용
  • 운영 종료 후에도 판매자 정보가 보관된 상태에서 유출됐다면 개인정보보호법 제28조에 따른 과징금 및 시정명령 대상
  • "보호기간 종료 후 삭제" 원칙이 제대로 이행됐는지 여부가 쟁점
• 기술적·관리적 문제
  • 크롤링 차단 기술 도입은 제한적 효과, 특히 정교한 봇 우회 가능성 존재
  • 운영 종료 후 데이터 보관 정책 미비 및 기한 초과 저장에 따른 위험 노출
  • 데이터의 주기적 비식별화 및 폐기 조치 부재
• 공격 위험
  • 유출된 정보 조합으로 판매자 신뢰 기반 악용 범죄 가능
    • 예: 배송정보 조회 사칭, 공급자 정산금 요청 위장, 스미싱 문자 전송
  • 플랫폼 기반 신뢰에 의존한 C2C(Consumer to Consumer) 거래 특성상 사회적 피해 확산 가능성 존재
• 보안권고
  • 플랫폼 기업
    • 운영 종료된 판매자의 개인정보 즉시 폐기 정책 수립 및 적용 필요
    • 비공개 정보 포함 가능성 분석 통한 사고 경로 재점검
    • 캡챠 우회 대응을 위한 AI 기반 행동 기반 탐지 시스템 도입 검토
  • 정책기관
    • 운영 종료 시점 이후 개인정보 관리 기준 및 삭제 의무 명확화
    • 표준적인 마스킹 및 웹상 개인정보 노출 방지 가이드라인 보급
  • 사용자 및 판매자
    • 불필요한 개인식별정보 입력 지양
    • 의심스러운 문자 및 메일 클릭 자제
    • 스마트스토어 외부 연락 시 사업자등록번호·문서번호 등을 통한 본인 확인 필수
• 결론
  • 공개정보와 유출정보 경계 모호성이 새로운 보안 이슈로 부상
  • 운영 종료된 데이터에 대한 관리 소홀이 공격자에게 주요 표적이 될 수 있음
  • 다크웹 기반 정보 유통 사례 증가에 따라 민간-공공 합동 OSINT(Open Source Intelligence) 기반 탐지 시스템 도입 필요
  • 데이터 삭제와 보존의 기준, 공공성과 프라이버시 사이 균형 필요

[단독]네이버 스마트스토어 판매자 73만명 정보, 다크웹서 '매물'로 : 네이트 뉴스

[단독]네이버 스마트스토어 판매자 73만명 정보, 다크웹서 '매물'로 : 네이트 뉴스

 

네이버, 판매자 정보 유출···"현행법상 공개, 해킹 아냐" - 뉴스웨이

네이버, 판매자 정보 유출···"현행법상 공개, 해킹 아냐" - 뉴스웨이