개인정보보호위원회(이하 개인정보위)는 ‘크리덴셜 스터핑’ 공격으로 개인정보 유출 사고가 발생한 한국고용정보원과 한국장학재단에 과태료를 부과하고, 시스템 보안대책 개선을 권고했다. 조사 결과 한국고용정보원과 한국장학재단에서는 각각 23만6000여명·3만2000여명의 개인정보가 유출됐으며, 두 기관 모두 이용자의 주민등록번호를 암호화하지 않고 보관한 것으로 나타났다.
개인정보위는 24일 전체회의를 열고 한국고용정보원과 한국장학재단에 대해 각 840만 원의 과태료를 부과하고, 시스템 보안 대책을 정비하도록 개선 권고했다고 밝혔다. 지난 6~7월 한국고용정보원이 운영하는 취업 전문 포털 ‘워크넷’과 한국장학재단 홈페이지는, ‘크리덴셜 스터핑’으로 인해 각각 23만6000여명과 3만2000여명의 개인정보가 유출됐다.
개인정보위에 따르면 두 기관은 모두 24시간 감시·모니터링 체계를 갖추고 있었으나, 크리덴셜 스터핑 공격에 대응할 수 있는 보안대책이 미흡했던 것으로 확인됐다. 크리덴셜 스터핑이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 크리덴셜 스터핑 공격의 급증에 따라 많은 기관에서 2단계 인증 등의 대책을 마련하고 있으나, 두 기관에서는 이러한 보안대책이 미흡했던 것이다.
-
23만명 개인정보 유출된 워크넷, 7일간 해킹 사실 몰라... 보안 조치 미흡 지적돼
- 동행복권, 해킹 하루만에 홈페이지 재개... "개인정보 유출 규모 파악 단계, 로그인 방식은 유지"
- 지그재그, 개인정보 유출 알고도 '9시간' 조치 안 해... 로그인도 지그재그로?
- 카카오, KISA와 중소사업자 대상 개인정보 보호 교육 진행... 불과 사흘 전 계열사 개인정보 유출 사고 '눈쌀'
- 20억 보안 예산 투입한 골프존, 서버 복구 '진땀'... 백업 서버 랜섬웨어 동시 감염?
- 골프존, 랜섬웨어 피해 데이터 '다크웹'에 올라와... 추가 피해 우려
조사결과에 따르면 워크넷에는 국내외 26개 IP를 통해 4500만 번 이상 로그인 시도가 발생했으며, 한국장학재단 홈페이지에는 국내외 44만여 개 IP를 통해 총 2100만 번 이상의 로그인 시도가 확인됐다. 특히 5년간 약 106억원의 보안 예산을 투자한 워크넷의 경우, 로그인 시도 누적에 따른 보안문자 입력 요구 등의 안전 대책을 수립하지 않아 피해가 컸던 것으로 나타났다.
앞서 한국장학재단이 밝힌 유출 가능성이 있는 개인정보 항목은 ▲성명 ▲이메일 ▲주소 ▲휴대폰 번호 ▲고객번호 ▲학자금대출 신청현황 등 14종이며, 한국고용정보원의 워크넷은 ▲이름 ▲성별 ▲출생년도 ▲주소 ▲일반전화 ▲휴대전화 ▲이메일 ▲학력 ▲경력 ▲증명사진 등 18종이다. 아울러 개인정보위는 조사 결과 기관이 모두 고유식별정보(주민등록번호)를 암호화하지 않고 평문으로 저장한 사실을 확인했다고 덧붙였다.
한편 한국장학재단은 피해가 발생한 직후 로그인 방식을 인증서 기반으로 변경했으며, 워크넷은 개인정보 유출 사고 발생 이후 한 달여 만에 인증서 기반 로그인 방식을 도입했다. 변경된 로그인 방식은 금융인증서·아이핀·공동인증서·간편인증(네이버, PASS, 페이코, 신한 인증서, KB 모바일 인증서, 토스, 삼성패스, 카카오톡) 등으로, 보안정책 강화를 위해 기존의 네이버·카카오 등 소셜 계정과 연동하는 로그인 서비스는 중단됐다.
- 23만명 개인정보 유출된 워크넷, 7일간 해킹 사실 몰라... 보안 조치 미흡 지적돼
- 동행복권, 해킹 하루만에 홈페이지 재개... "개인정보 유출 규모 파악 단계, 로그인 방식은 유지"
- 지그재그, 개인정보 유출 알고도 '9시간' 조치 안 해... 로그인도 지그재그로?
- 카카오, KISA와 중소사업자 대상 개인정보 보호 교육 진행... 불과 사흘 전 계열사 개인정보 유출 사고 '눈쌀'
- 20억 보안 예산 투입한 골프존, 서버 복구 '진땀'... 백업 서버 랜섬웨어 동시 감염?
- 골프존, 랜섬웨어 피해 데이터 '다크웹'에 올라와... 추가 피해 우려
- 엔씨, TL 계정 도용은 '크리덴셜 스터핑' 공격 추정... "개인정보 유출 피해 없다"
- 골프존, 서비스 장애로 수백억 원 보상금 집행 예상돼... '개인정보 유출' 과징금 규모는?
- 한국사회복지협의회, 해킹으로 135만 명 개인정보 유출 의혹... "홈페이지 보안 취약점 있었다"
- 대성마이맥, 해킹으로 9만5000명 개인정보 유출... 디지털대성 "2차 피해 제한적"
- 개인정보 유출 발생한 대성마이맥, 개인정보 수집 항목엔 민감 개인정보·금융정보 포함
- 한국거래소, 설문조사 참여자 개인정보 유출... 관리 부실로 민감 개인정보 노출돼
- 벤츠 딜러사 '더클래스 효성', 수년간 하자 차량 속여 판매한 혐의로 검찰 송치... "직원 개인의 일탈"
- 카카오, 'SM엔터' 엔씨에 매각 추진?... 양사 "사실 무근" 부인
- 한양증권 전 부서장, 허위 계약서로 100억 투자 유치... "뒤늦게 인지, 사문서 위조로 형사고소 진행 중"
- 무료 이모지 종료·삼성페이 연동, 카카오 '톡 비즈' 수익성 개선 이끌까
- 네이버, 지난해 연매출 9.7조 '역대 최대'... 신규 서비스 출시로 올해 기대치도↑
- 국정원, 국가·정부서비스 이용자 1만3000명 개인정보 다크웹 유출... "행정전산망 마비사태 연관 없어"
- 카카오, 지난해 첫 8조 매출 달성에도 1.5조원 순손실... 왜?
- 인천교육청, 해킹 사실 인지하고도 한 달 넘게 신고 안 해... 11만명 개인정보 유출 우려
- 카카오-공정위 '악연', 카카오모빌리티·엔터 이어 카카오도 공정위에 행정소송 제기
- 카카오VX, 골프장 '세라지오 GC'서 개인정보 유출 정황... "협력업체 해킹 피해"
- 커머스 비중 높인 네이버, 中 알리·테무 고속 성장에 영향 불가피... '득 될까 독 될까'
- 디지털대성·시대인재, 11만명 개인정보 유출로 과징금 8.9억원... 안전조치 거짓 공지했나