골드스푼

회원 수 13만명에 달하는 데이팅 애플리케이션(앱) ‘골드스푼’이 해킹으로 인해 이용자 개인정보가 유출됐다. 골드스푼측은 해킹 피해를 신고한지 14일이 지나서야 이를 홈페이지에 공지했으며, 이에 개인정보보호위원회(개보위)는 18일 골드스푼의 운영사인 트리플콤마에 대한 조사에 착수할 예정이다. 

지난 12일 골드스푼은 홈페이지 공지를 통해 "정보망에 사이버테러(랜섬웨어, 디도스, 해킹 등)피해가 발생한 것으로 추정하고 있습니다”라며 “최근 국내 대표 숙박/여행 플랫폼, 명품쇼핑 플랫폼, 대형 인테리어 앱 등에서 동시다발적으로 벌어진 아마존 클라우드 서비스(AWS) 관련 사이버 공격과 동일한 방식으로 사고가 발생한 것으로 추정되며, 해당 공격에 대한 보안 시스템 대응 및 보완은 완료된 상태”라며 개인정보 유출 사고가 발생했음을 전했다.

이어 “운영팀은 문제파악 후 재발 방지 조치를 위한 테스크포스(TF)팀을 구성하고 한국인터넷진흥원, 개인정보보호포털 외부 전문 사이버보안 기업 등 유관기관과 적극 협조하며, 선제적인 취약점 점검과 보완조치를 완료하였고, 추후에도 추가적인 보완조치가 진행될 예정”이라며 “현재 합동 조사 중인 내용을 바탕으로 파악된 피해를 입은 정보항목은 ID, 성함, 생년월일, 전화번호, 앱내 제출자료 등이며, 개정된 정보통신망법에 따라 주민등록번호와 IP는 애초에 수집을 하지 않았으며 비밀번호도 암호화되어 보호되고 있다”라고 전했다.

골드스푼은 직업·경제력 인증 등을 통해 고액 자산가들을 회원으로 모집해왔으며, 전문직 자격증, 소득금액증명원, 가족관계증명서, 부동산 등기서류 또는 매매 계약서 등의 정보를 수집했기에 유출 사고로 인한 2차 피해가 우려되는 상황이다. 하지만 골드스푼 측은 개인정보 유출 사고를 공지하기 전 게시판을 차단하였으며, 2차 피해 방지와 관련된 안내를 하고 있지 않은 상황이다.

골드스푼 홈페이지 공지사항

개보위 관계자는 <뉴스워커>와의 통화를 통해 “골드스푼은 10월12일 개인정보 유출 사고를 공지하였지만, 개인정보 유출 사고를 신고한 시점은 9월28일이었다”라며 “개인정보유출사고는 사고가 발생한 뒤 24시간 이내에 공지하게 돼 있으며, 공지가 지체된 사유와 사건 경위를 파악하기 위해 조사에 나설 계획”이라고 전했다.

한편 골드스푼 공지에서 언급된 AWS와 관련한 사이버 공격은 2019~2020년도 ㈜야놀자 등 4개 업체가 AWS 관리자 접근권한(Access Key)을 IP로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영하여 발생한 사건으로 당시 4개 업체는 총 1억8530만원의 과징금과 8300만원의 과태료가 부과 및 시정명령, 공표 등 시정조치를 받았다.

저작권자 © 뉴스워커 무단전재 및 재배포 금지