[아이뉴스24 김혜경 기자] 162만명의 개인정보 유출 사태를 겪은 명품쇼핑 플랫폼 '발란'이 5억원대 과징금 처분을 받은 가운데 스타트업을 겨냥한 해킹 공격이 지속되고 있어 주의가 요구된다.
특히 사고 발생 시 피해 사실을 누락하지 말고 신속한 이용자 통지와 신고가 이뤄져야 한다는 지적이다.
![김해숙 개인정보위 조사3팀장이 10일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 '발란 개인정보 유출 사건' 관련 브리핑을 하고 있다. [사진=개인정보위]](https://image.inews24.com/v1/20b58d7495a864.jpg)
10일 정부서울청사에서 열린 개인정보보호위원회 브리핑에서 김해숙 개인정보위 조사3팀장은 "지난 3월부터 5월까지 총 3차례에 걸쳐 개인정보 유출 사고가 발생했다"며 "3~4월 해킹 공격으로 개인정보 162만건이 유출됐고, 5월에는 소셜 로그인 기능 오류로 이용자 식별정보가 중복돼 다른 이용자에게 개인정보가 노출됐다"고 설명했다.
앞서 개인정보위는 이날 오전 전체회의를 열고 발란에 총 5억1천259만원의 과징금과 1천440만원의 과태료를 부과하기로 결정했다. 공격자는 3~4월 미사용 관리자 계정을 도용해 162만건의 개인정보를 빼돌렸다. 유출된 개인정보에는 이용자 이름과 주소, 휴대전화번호 등이 포함됐다.
조사 결과 발란은 사용하지 않는 관리자 계정을 삭제하지 않았고, 개인정보처리시스템에 접근하는 인터넷주소(IP)를 제한하지 않은 것으로 나타났다. 또 개인정보 유출 사실을 통지하는 과정에서 유출된 항목과 시점을 누락해 통지한 사실도 확인됐다.
김 팀장은 "온라인 쇼핑몰을 겨냥한 해킹 사고가 지속적으로 발생하고 있다"며 "사업자들은 관리자 페이지와 개인정보처리시스템에 접속 가능한 인터넷 주소를 제한하고, 관리자 계정에 이중 인증 등을 적용해야 한다"고 말했다.
개인정보보호위원회는 관련 업계와의 협업을 통해 스타트업 해킹 피해 사례들을 분석, 재발 방지 대책도 마련한다는 방침이다.
다음은 김해숙 개인정보위 조사3팀장과의 일문일답.
-발란에서는 3차례 개인정보 유출 사고가 발생했다. 이중 3~4월에 발생한 두 차례 해킹 사건의 경우 위원회에서 동일 사건으로 묶었다. 해킹 기법이 비슷하기 때문에 한 사건으로 묶었다고 설명했는데 만약 방식이 같아도 유출된 개인정보 범위가 달라질 경우 각각 다른 사건으로 볼 수 있는 것인가.
해킹 기법이 동일하다는 점도 있었지만 두 가지 사고가 발생했던 시간 간격이 크지 않았다. 3주 정도의 시간차를 두고 공격이 발생했는데 충분한 조치를 취하기에는 한계가 있다고 봤다. 그래서 두 가지 사건을 동일한 사건으로 본 것.
이번에는 동일 규모의 동일한 사용자를 대상으로 한 정보가 유출된 것으로 확인됐다. 피해 범위보다는 공격 방법과 시간 차에 좀 더 무게를 두고 종합적으로 판단했다.
-공격자가 어떤 해킹 기법을 사용한 것인지는 확인됐나.
해커가 최초에 어떻게 관리자 계정을 확보했는지는 알 수 없다. 관리자 계정을 탈취한 후 해당 계정을 이용해 웹셸을 설치했고, 웹셀을 이용해 해킹 공격이 발생했다. 웹셸은 시스템에 명령을 내릴 수 있는 코드다. 웹서버 취약점을 통해 서버 스크립트가 게재되면 공격자는 원격으로 해당 웹서버를 조종할 수 있다.
-관리자 계정은 어떻게 탈취됐나.
일반적으로 해커가 관리자 접근 권한을 탈취해 다크웹 등에서 판매하기도 하는데 이번 사건의 경우 추정은 가능하겠지만 구체적으로 어떤 방식으로 탈취 혹은 획득했는지는 알 수 없었다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기