보건복지부 산하 기관인 한국사회복지협의회의 ‘사회복지자원봉사인증관리(VMS)’ 홈페이지에서 외부 해킹 공격으로 인해 135만 명의 개인정보가 유출된 정황이 확인됐다.

한국사회복지협의회는 사회복지자원봉사인증관리 홈페이지에서 정보 시스템 침해사고로 일부 회원의 개인정보가 유출된 정황을 확인했다고 15일 밝혔다. 개인정보 유출 가능성을 확인한 시점은 지난 12일로, 한국인터넷진흥원(KISA) 등의 관련기관의 협조를 통해 정확한 경위 등을 파악하고 있다.

개인정보가 유출된 것으로 추정되는 회원은 약 135만 명에 달하며,  개인정보 항목은 선택 항목 기재 여부에 따라 상이한 것으로 나타났다. 유출 가능성이 있는 개인정보 항목은 ▲회원아이디 ▲이름 ▲영문성명 ▲생년월일 ▲성별 ▲주소 ▲연락처 ▲이메일 8개 항목과, ▲직업 ▲학교정보 ▲학력 ▲자격면허 4개 선택항목으로 총 12개 항목이다.

나와 관심이 같은 사람이 본 뉴스

한국사회복지협의회는 “불법 취득한 아이디를 활용해 자원봉사인증관리시스템에 부정 로그인한 시도가 확인됐다”라며 “개인정보위원회에 시고 및 경찰 수사를 의뢰했으며 공격 IP를 포함해 시스템 접근을 전면 차단하고, 취약점 점검 등 추가 피해를 막기 위한 기술적 보호 조치를 강화했다”라고 설명했다. 아울러 금일(15일) 유출 의심 대상자에 이메일 및 문자 발송, 홈페이지 고지 등으로 개인정보 유출 가능성을 안내했으며, 협의회 내 민원 등 사고대응팀을 운영하고 있다고 밝혔다.

불법 취득한 계정정보를 통해 개인정보를 탈취했다는 점에서, ‘크리덴셜 스터핑’으로 불리는 공격을 통한 개인정보 유출 사고가 발생한 것으로 추정된다. 크리덴셜 스터핑이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 앞서 한국고용정보원이 운영하는 취업 정보 포털 ‘워크넷’을 비롯해 한국장학재단, 동행복권 홈페이지 등이 같은 공격을 받아 이용자 개인정보가 유출되기도 했다.

이에 한국사회복지협의회 관계자는 <뉴스워커>와의 통화를 통해 “홈페이지의 데이터베이스(DB)가 탈취된 것은 아니지만, 해커가 비밀번호를 변경하는 시스템 내 취약점을 통해 이용자 개인정보를 유출하는 데 성공한 것이 추정된다”라며 “크리덴셜 스터핑은 확인되지 않고 있으며, 경찰과 개인정보보호위원회 등의 조사를 통해 사고 경위를 파악할 것”

관련기사
저작권자 © 뉴스워커 무단전재 및 재배포 금지