삼양그룹 계열사 주주 개인정보 2년간 다크웹 떠돌았다… 회사는 인지도 못해
삼양그룹 계열사 주주 개인정보 2년간 다크웹 떠돌았다… 회사는 인지도 못해
삼양그룹의 계열사인 삼양패키징 주주들의 민감 개인정보가 수년째 다크웹에 방치돼 있었다는 사실이 뒤늦게 알려졌다. 회사는 랜섬웨어 공격으로 데이터 유출 사고가 발생한 것은 알고 있었
www.ngetnews.com
- 사건 개요
- 공격 단체: 록빗 3.0(LockBit 3.0)
- 2019년 등장, 전 세계적으로 2000곳 이상 피해 발생
- 약 1600억 원 갈취
- 공격 내용
- 2022년 9월 삼양패키징 내부 전산망 침입 및 랜섬웨어 유포
- 협상 불발 후 10월에 다크웹에 2TB 데이터 공개
- 유출 데이터에 수천 건의 주주 개인정보(이름, 전화번호, 주소) 포함
- 공격 단체: 록빗 3.0(LockBit 3.0)
- 문제점
- 데이터 유출 관리 부재
- 삼양그룹은 랜섬웨어 공격 및 데이터 유출은 인지했으나, 유출 데이터에 민감한 개인정보가 포함된 사실은 2년간 미인지
- 법적 의무 위반
- 개인정보보호법에 따라 개인정보 유출 사고 발생 시 72시간 이내 신고 및 통지 의무 미이행
- 홈페이지나 문자 공지를 통한 주주들의 알림 부재
- 2차 피해 위험
- 유출된 개인정보가 보이스피싱, 사기 등의 2차 피해로 악용 가능
- 부정확한 대응 및 정보
- 회사는 록빗 3.0 사이트가 폐쇄됐다고 주장했으나, 이는 2024년 2월에야 국제 수사기관에 의해 이루어진 사실로, 단체는 곧 새로운 다크웹 사이트를 통해 활동 재개
- 데이터 유출 관리 부재
- 대응 현황
- 삼양그룹은 사건 발생 2년 만에 개인정보보호위원회 신고 예정
- 유출 피해를 받은 주주들에게 개별 메일 및 우편으로 알림 진행 예정
- 보안 시스템 점검 및 강화 계획 발표
- 시사점
- 즉각적 조치
- 유출된 개인정보 대상자들에게 신속히 통지
- 다크웹 및 관련 플랫폼에서 유출 데이터 검색 및 삭제 시도
- 보안 체계 재구축
- 랜섬웨어 탐지 및 대응 시스템 강화
- 정기적인 취약점 평가 및 모의 침투 테스트 수행
- 개인정보 보호 강화
- 내부 데이터 암호화 및 접근 통제 개선
- 유출 가능성 대비, 데이터 백업 및 복구 계획 강화
- 법적 및 윤리적 대응
- 유출 사고 발생 시 신속한 법적 절차 준수로 신뢰 회복
- 정보 주체의 피해 방지 위한 사전적 조치 의무 강화
- 즉각적 조치
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 메타플랫폼스, 인스타그램 장애 보고 지연으로 과태료 부과 (0) | 2024.12.02 |
|---|---|
| 금융 클라우드 전환과 망분리 완화: 디지털 금융의 새로운 기폭제 (0) | 2024.12.02 |
| 오래된 보안 소프트웨어의 위험성: 악용 사례와 대처 방안 (0) | 2024.12.01 |
| 최초의 리눅스용 UEFI 붓키트 '붓키티(Bootkitty)' 발견 (0) | 2024.12.01 |
| 기술적 보안의 효과 극대화 (0) | 2024.12.01 |