해커, 아이레슨 사이트 개인정보 100만 건 탈취 주장... 텔레그램 통해 판매 시도
해커, 아이레슨 사이트 개인정보 100만 건 탈취 주장... 텔레그램 통해 판매 시도
신원 미상의 해커가 국내 음악 방문교육 업체인 아이레슨 사이트의 개인정보 100만 건을 해킹으로 탈취했다고 주장하며, 텔레그램에 개인정보 샘플을 공개해 피해가 우려되고 있다.
www.boannews.com
- 사건 개요
- 공격 대상: 음악 방문교육 업체 아이레슨
- 공격 발생일: 2024년 12월 4일
- 피해 내용
- 약 100만 건의 개인정보 탈취
- 탈취 정보: 휴대전화번호, 이름, 성별 등
- 샘플 데이터 텔레그램 공개 및 500달러에 판매 시도
- 보안 취약점
- 개인정보 평문 전송 및 암호화 미처리
- 개인정보 보관 및 관리 소홀
- 해커 활동 및 유출 정보
- 공개 플랫폼: 텔레그램 거래 채널
- 거래 제안: 전체 개인정보 500달러에 판매
- 샘플 데이터: 오래된 017 번호 포함, 실제 유효 정보 다수 확인
- 피해 범위: 홈페이지에 저장된 전체 개인정보 유출 가능성
- 보안 전문가 분석
- 윤우희 부대표(에스케어)
- 개인정보 관리 책임은 위탁사에 있음
- 수탁사가 다수의 학원 및 소규모 사업자 홈페이지를 관리 시 유사 사건 발생 가능성
- 개인정보 암호화 및 보안 체계 강화 필요
- 한승연 대표(리니어리티)
- 평문 저장, 과도한 개인정보 수집, 결제 기능 등으로 인해 2차 피해 가능성 우려
- 정보 유출 사실 즉각 통보 및 시큐어코딩 도입 권고
- 장기 보관 중인 개인정보 삭제 및 보안 조치 필수
- 윤우희 부대표(에스케어)
- 대응 및 예방 전략
- 즉각적 대응 조치
- 유출된 개인정보 사실을 이용자들에게 신속히 통보
- 한국인터넷진흥원(KISA)에 사건 신고 및 공조 요청
- 관련 서버 및 시스템에 대한 포렌식 분석 실시
- 개인정보 관리 개선
- 저장된 모든 개인정보 암호화
- 데이터 암호화를 위한 강력한 암호화 알고리즘 도입
- 평문 전송 방지 및 데이터 전송 시 암호화 적용
- 보안 강화
- 시큐어코딩 도입을 통해 안전한 개발 환경 구축
- 개인정보 최소 수집 및 보관 기간 제한
- 정기적인 보안 점검 및 침투 테스트 수행
- 책임 소재 명확화
- 수탁사 관리 의무 강화 및 계약 조건 검토
- 유사 사건 방지를 위한 구상권 청구 절차 마련
- 즉각적 대응 조치
- 결론
- 개인정보 보호는 기업 신뢰의 기본 요소이며, 사후 대응보다 사전 예방이 중요함
- 개인정보 처리 과정에서의 시큐어코딩, 암호화, 최소화 원칙 준수가 필요
- 위탁 및 수탁사의 명확한 책임 분담과 데이터 보호를 위한 협력이 필수
- 이번 사건은 소규모 사업체에서도 개인정보 관리 체계 강화를 위한 계기가 되어야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 네이버웹툰 직원의 개인정보 무단 저장 및 악용 사건 (0) | 2024.12.26 |
|---|---|
| 오픈소스 패키지에서 발견된 크립토마이닝 악성코드 (0) | 2024.12.26 |
| Lazarus APT의 핵심 표적: 핵 관련 조직 공격 분석 (0) | 2024.12.26 |
| 스타트업 보안, 선택이 아닌 필수 (1) | 2024.12.26 |
| IP카메라 보안 강화 방안 및 사례 분석 (0) | 2024.12.26 |