"개인정보"에 대한 통합검색 결과
통합검색(229)
경제(81)
검색결과 총 229건
SKT, 2021년 해커 공격 받고도 자체 대응하다 문제 키워 SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사 결과 해커의 공격은 2021년부터 이뤄졌다는 점이 밝혀졌다. 또 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 문제를 키운 사실이 드러났다. 과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다. 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속해, 다른 서버에 침투하려 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있었다. 핵심 서버들에 접근할 수 있는 정보를 얻어낸 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다. 해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다. 해커는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있다. 조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고 밝히기도 했다. SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것이다. 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와는 무관해 보인다. 조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다. 한편 SK텔레콤은 해커가 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키운 것으로 조사됐다. 조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 이 과정에서 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔다. SK텔레콤은 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 일었다. 2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했다. 하지만 로그기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록은 발견하지 못한 것으로 조사됐다. 조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 지적했다. 조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것이다. 조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했다. 또 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등은 하고 있지만 SKT만 암호화하지 않은 점, 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다. 조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다. 조사단은 ▲ 통신기록(CDR)을 임시 저장 서버에 저장한 점 ▲ 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다. 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다. 조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황은 없었다고 밝혔다. 하지만 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 확신하기 어렵다. 조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 로그기록의 6개월 이상 보관, 중앙로그관리시스템 구축 등을 요구했다. SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다. 과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다. 또 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다.
2025.07.04
개인정보위, 써브웨이 조사 착수…고객 개인정보 무방비 노출 개인정보보호위원회는 고객 개인정보가 무방비로 노출된 정황이 있는 샌드위치 프랜차이즈 써브웨이에 대한 조사에 착수했다고 1일 밝혔다. 개인정보위는 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고, 법 위반 발견 시 관련 법령에 따라 처분할 예정이라고 밝혔다. 개인정보위에 따르면 써브웨이는 홈페이지 URL(유알엘) 주소의 뒷자리 숫자 변경 시 다른 고객의 연락처, 주문내역 등 고객 정보가 별도 인증 절차 없이 확인할 수 있는 상태로 운영된 것으로 알려졌다. 홈페이지 주소의 파라미터 변조가 원인인 만큼 각 사업자는 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 당부했다. 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리 실태 조사를 진행하고 있으며, 올해 하반기 조사 결과를 발표할 예정이다.
2025.07.01
"'써브웨이'도 최소 5개월 개인정보 무방비 노출" 샌드위치 프랜차이즈 써브웨이에서도 고객 개인정보가 무방비 상태로 노출된 정황이 드러났다. 파파존스, 머스트잇 등에서도 개인정보 유출 사고가 발생한 데 이어 보안 허점이 드러나 소비자 우려가 커지고 있다. 30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템에서 다른 고객의 개인정보를 손쉽게 열람할 수 있는 보안 취약점이 발견됐다고 지적했다. 이에 따르면 누구나 로그인 없이 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처와 주문 정보가 그대로 화면에 표시된다. 최 위원장은 "사례 확인 결과, 최소 5개월간은 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다"고 말했다. 실제 고객 정보 유출 여부와 유출 규모는 확인이 되지 않는 상황이다. 전문가들은 이번 사고가 홈페이지 개편 과정에서 적절한 보안 검토 절차를 거치지 않아 발생한 것으로 보고 있다. 써브웨이는 "최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했고, 조치해 문제를 해결한 상태"라며 "정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다"고 밝혔다. 앞서 파파존스도 URL 뒷자리 숫자를 바꿔 넣는 방식으로 고객 이름, 연락처와 신용카드 번호, 공동현관 비밀번호까지 노출됐다. 명품 온라인 플랫폼 머스트잇도 인증 없이 회원 개인정보가 조회되는 취약점이 발견됐다. 개인정보를 허술하게 관리하면 최대 5천만원의 과태료가 부과될 수 있으며, 전체 매출액의 3% 범위에서 과징금을 물 수 있다. 약 6만5천건의 개인정보를 유출한 카카오는 과징금 151억원을, 221만여명의 이름과 전화번호를 유출한 골프존은 75억원을 부과받은 사례가 있다. 최민희 위원장은 "온라인 주문 서비스가 일상화된 상황"이라며 "규제나 처벌 강화 등 정부 차원의 대책 마련이 필요하다"고 말했다.
2025.06.30
한국파파존스 고객정보 유출 사고…"관리 소홀로 심려 끼쳐"피자 프랜차이즈 한국파파존스에서 고객들의 개인정보가 유출되는 사고가 발생했다. 파파존스는 26일 입장문에서 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다"며 "노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다"고 밝혔다. 이어 "전날 신고 접수된 건에 대해 즉각 조치했으며 현재 모든 보완 작업을 완료해 운영하고 있다"고 덧붙였다. 파파존스는 "관리 소홀로 고객 여러분께 심려 끼쳐드린 점에 대해 무거운 책임감을 느낀다"며 "보다 철저한 개인정보 관리 매뉴얼을 구축하고 보안 시스템을 전면 점검해 유사 사고가 재발하지 않도록 강도 높은 안전성 점검을 시행하겠다"고 했다. 또 "구체적인 피해 발생 여부를 파악하고 확인된 피해가 있다면 신속히 고객에게 안내한 뒤 적절한 보호 조치를 시행하겠다"고 밝혔다. 개인정보위는 이날 이번 사고에 대한 조사에 착수했다. 구체적인 유출 경위와 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인할 방침이다. 또 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다. 앞서 한국파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터 이름과 전화번호, 주소 등 고객 주문정보가 온라인상에 노출된 것을 확인하고 전날 오후 개인정보위에 신고했다.
2025.06.26
[알고리즘 시대의 법생활] 인공지능, 의료기술, 데이터 혁명의 시대 - 법률 시장은 무엇을 준비해야 하는가? 인류의 역사는 늘 호기심과 탐구심에 의해 진보해 왔다. 불을 발견하고 바퀴를 만들었으며, 별을 관측하고 질병을 치료하는 방법을 찾았다. 과학의 발전은 언제나 인간의 질문으로부터 시작됐고, 그 답을 찾아가는 과정에서 인류는 문명을 발전시켜 왔다.그런데 오늘날, 이 진화와 발전의 속도는 이제 인간 스스로도 통제하기 어려울 만큼 빠르게 진행되고 있다. 특히 인공지능(AI), 의료기술의 급속한 진보, 데이터 혁명 등 세 가지 기술의 결합은 그 속도를 기하급수적으로 가속시키고 있다.이 세 가지 흐름이 상호 결합되면서 전 산업을 다시 설계하고 있고, 법률시장 또한 중대한 전환점에 서 있는 것이다.인공지능(AI)이 법률 사무의 패러다임을 완전히 바꿀 것이며 단순히 법률가를 보조하는 수준을 넘어, 일부 변호사의 역할을 대체하거나 심지어 능가할 수 있는 지점까지 도달하게 될 것이다. 예를 들어, 법률 문서 작성은 물론 계약서의 자동 분석 및 요약이나 소송 가능성 예측 및 리스크 분석 등 예전에는 많은 시간이 소요되던 작업도 단 몇 초, 몇 분 안으로 단축시킬 수 있게 되어 특히 시간당 요금을 받는 전통 로펌의 비즈니스 모델에 근본적인 변혁이 불가피할 것이다. 이러한 변화에 적응하려면 변호사와 로펌은 다음과 같은 방향으로 전환이 필요하다.즉, 단순 반복 업무는 AI에 맡기고, 고난도 자문, 전략적 판단, 인간적 중재가 필요한 분야에 집중해야 한다. AI를 단순 도구가 아닌 업무 파트너로 이해하고, 이를 활용한 새로운 법률 서비스 모델을 만들어야 한다. 특히 젊은 변호사일수록 AI 기술에 대한 이해와 활용 능력이 경쟁력의 핵심이 될 것이다. 다음은, 의료기술의 급진적 발전과 법률 수요의 폭증이다. 의료기술은 지금, ‘4차 산업혁명’의 중심에 있다. AI 진단기, 디지털 치료제, 원격 수술 로봇, 유전자 편집 기술 등 기술과 생명이 결합된 새로운 의료환경이 빠르게 확산되고 있다. 하지만 이러한 발전은 복잡한 법적 문제를 동반하게 된다. AI가 내린 오진의 책임은 누구에게 있는가? (의사? 병원? 개발사?)유전자 편집을 어디까지 허용할 것인가?환자의 의료정보가 유출되었을 때 배상은 어떻게 해야 하는가?의료기술과 보험약관의 관계는 어떻게 조율되어야 하는가? 이러한 흐름에 대응하기 위해 법률시장은 다음과 같은 기능을 갖춰야 한다.의료기술과 관련된 윤리·규제·책임 문제를 전문적으로 다룰 수 있는 변호사와 전문팀을 양성해야 한다.병원, 제약사, 디지털헬스 스타트업들을 대상으로 AI 진단기의 합법성, 데이터 보호, 보험 대응 전략 등을 포괄적으로 자문할 수 있어야 한다.복잡한 분쟁의 경우에는 기술적 이해를 바탕으로 한 소송대리 및 중재 서비스를 제공할 수 있어야 한다.지금 우리는 매일 수십억 건의 데이터가 생성되는 세상에 살고 있다. 하지만 이 데이터가 잘못 쓰이거나, 차별·편향을 유발하는 AI 알고리즘에 의해 사용된다면 엄청난 사회적 피해로 이어질 수 있다.이에 따라 전 세계는 다음과 같은 규제와 법제화를 추진하고 있다.EU는 AI법(AI Act)을 제정해 고위험 AI에 대해 엄격한 규제와 투명성을 요구하고, 미국은 연방정부 차원에서 AI 알고리즘 편향 감시, 개인정보 보호조치를 강화한다.우리도 의료기기 AI 심사제, 개인정보 보호법 강화, AI 윤리성 검증 등 제도를 추진 중이다. 따라서, 앞으로의 법률시장은 단순한 ‘법 해석’을 넘어서, 다음과 같은 규제 컨설팅·정책 조정자 역할까지 수행해야 한다.기업이 사용하는 AI 시스템이 국제 규제를 위반하지 않도록 설계·검토해 주어야 한다.AI를 사용하는 조직이 투명성과 설명가능성을 확보하도록 내부 정책을 수립하게 해야 한다.분쟁 발생 시, “AI가 왜 그런 결정을 내렸는가?”에 대해 법적 설명과 소명자료를 준비하는 것도 필요할 것이다.미래형 변호사는 단순한 법률지식만 갖춘 사람이 아니고, AI, 의료기술, 데이터 보호에 대한 이해를 갖춘 융합형 인재가 되어야 한다.로스쿨 교육에도 기술 관련 커리큘럼이 필요하며 기업이 AI·의료·데이터를 안전하게 활용하도록 자문하는 예방 법률 서비스 중심으로 전환해야 한다.결국은 변호사, AI 전문가, 의료기기 엔지니어가 함께 일하는 융합형 법률조직이 경쟁력의 열쇠가 될 것이다. 또한, 각국의 AI 및 데이터 관련 규제가 상이하기 때문에, 글로벌 기업에 자문을 제공하려면 해외 규제에 대한 분석력과 적용 능력을 갖춰야 한다.이렇게 변화하게 될때 법률의 역할은 더욱 커진다고 볼 수 있다. 지금 이 순간에도 인공지능은 더 똑똑해지고, 의료는 더 정밀해지며, 데이터는 더 복잡해지고 있다. 이 과정에서 발생하는 수많은 윤리적·법적 질문을 해결할 수 있는 전문가는 바로 법률가이다.따라서 법률시장은 전통적 소송 대리의 영역을 넘어, 기술사회에서의 질서와 신뢰를 설계하는 ‘설계자’이자 ‘조정자’의 역할로 확장되어 갈 것이다.법을 아는 사람이 아니라, 기술과 인간을 함께 이해하는 법률가가 필요할 것이다.그 준비는 지금부터 시작되어야 한다.
2025.06.19
[북부파수꾼의 법생각] 휴대폰 번호로 온 전화인데도 보이스피싱인가요? 주변 지인들이 저에게 “요즘은 어떤 사건이 많아?”라고 종종 물어봅니다.그리고 저는 “몇 해간 '보이스피싱' 관련 사건이 많아”라고 대답하고 있습니다.그러면 주변 지인들은 “아직도 사람들이 보이스피싱 피해를 당하냐”며 깜짝 놀라 반문합니다. 정부를 비롯한 공공기관과 은행에서 대대적으로 보이스피싱 범죄수법을 알리고, 이에 대해 대비할 수 있도록 장치들을 마련해두고 있지만 여전히 보이스피싱 범죄는 활개를 치고 있습니다. 또한 이제는 010으로 시작하는 번호로 보이스피싱 전화가 오는 경우도 있는데요. 최근 유행하는 수법 중 하나는 “재발송되는 법원등기 우편을 평일 낮에 받을 수 있냐”며 물어보고, 어렵다고 하면 “인터넷으로 확인할 수 있게 도와준다”고 유도하며 개인정보 탈취 등의 범죄를 저지르는 것입니다. 해당 보이스피싱의 특징은 010으로 전화가 걸려오는 점, 전화를 받자마자 본명("ㅇㅇ씨 맞으시죠?")을 언급하는 식으로 미리 피해자가 될 수 있는 개인의 신상정보(이름, 주소 등)를 어느 정도 파악하고 피싱 전화가 걸려온다는 점에서 더욱 많은 피해자를 발생시킨다는 점입니다. 그 이후의 수법들도 매우 교묘해 누구나 쉽게 속을 수 있는데요. 실제 공문서와 같이 가짜 서류를 위조하는 것은 물론, 인터넷 접속 시 들어가게 되는 사이트도 정교하게 위조해 피해자의 방심을 유도한다고 합니다. 이런 보이스피싱 피해를 당했을 때는 어떻게 해야 할까요? 우선 경찰청 112, 금감원 1332, 혹은 해당 은행 콜센터로 전화를 해서 ‘본인 계좌 지급 정지’를 요청해야 합니다. 해당 제도는 사기범에게 돈을 송금했을 경우, 은행에 요청하여 해당 계좌를 동결시키는 제도인데요. 금융결제원 ‘계좌정보통합관리서비스’ 사이트에 접속해서도 가능합니다. 그 후에는 경찰서(사이버 수사대)에서 발급한 사건사고사실확인원 등의 증빙서류와 함께 지급 정지를 신청한 영업점에 피해구제신청을 하면 사기 계좌에 남아있는 잔액에 한해 피해금을 돌려받을 수 있다고 합니다. 다음으로 휴대전화 초기화나 악성앱 삭제를 진행해야 하며, 당장에 초기화가 어렵다면 휴대전화 전원을 끄거나 비행기모드 전환을 하는 것이 좋습니다. 그와 함께 다른 휴대전화 및 PC를 사용하여 ‘금감원 개인정보 노출자 사고예방시스템’에 접속하여 개인정보 노출사실 등록을 해야 하는데요. 본인 확인 후 개인정보 노출사실을 등록하여 신규계좌 개설, 신용카드 발급 등의 제한이 가능합니다. 또한 ‘한국정보통신진흥협회 명의도용방지 서비스’에 접속하여 가입사실현황조회 서비스 메뉴로 들어가 본인명의로 개설된 휴대전화 개설 여부를 확인할 수 있는데요. 만약 명의도용 휴대전화가 개통된 경우에는 즉시 해당 이동통신사에 회선 해지 신청 및 명의도용 신고를 진행하고, 가입제한 서비스를 통해 본인명의 휴대전화 신규 개설을 차단하는 것이 바람직합니다. 더불어 위와 같은 조치를 실행한 이후에도 금융회사 및 경찰 안내 등에 따라서 기존의 인증서 폐지 및 재발급, 신분증 분실신고 등 필요한 추가 조치를 실시하는 것이 중요합니다. 도저히 따라잡기 어려운 속도로 다양해지고 있는 보이스피싱을 예방하기 위해서는 금융감독원에서 강조하듯이 늘 의심하고, 꼭 전화 끊고, 또 확인하는 습관을 가져야 하겠습니다.
2025.06.17
예스24 입장문 사실과 다르다? KISA "기술 지원 협조하지 않아" 해킹으로 인한 서비스 마비 사태가 진행 중인 국내 최대 규모 인터넷서점 예스24가 사이버 보안 당국과 협력해 복구 작업에 총력을 다하고 있다며 입장을 발표한 데 대해 한국인터넷진흥원(KISA)이 반박했다. 11일 한국인터넷진흥원(KISA)은 보도자료를 통해 "예스24가 입장문에서 'KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다'고 발표했지만 이는 사실과 다르다"라고 밝혔다. KISA는 "사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 지난 10일과 11일 2차례 방문했으나, 현재까지 예스24는 KISA의 기술지원에 협조하지 않고 있다"고 지적했다. 이어 "현재까지 10일 첫 현장 출동 때 예스24로부터 당시 상황을 구두로 공유받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다"며 "예스24에 지속적인 협력을 요청할 예정"이라고 밝혔다. 이는 전날 예스24가 낸 입장문에서 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 적은 것과는 다른 부분이다. KISA 관계자는 "예스24가 신속히 서비스를 정상 복구하고 사고 원인 분석 등이 이뤄질 수 있도록 지속적인 협력을 요청할 예정"이라고 말했다. 이같은 입장에 예스24 측은 "전문 분석팀을 보유하고 있는 경우에는 자사에서 1차 분석 후 KISA와 함께 종합적으로 검토하는 절차를 따르고 있다"고 밝혔다. 개인정보보호위원회도 예스24가 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 밝힘에 따라 개인정보 유출 여부에 대한 조사에 착수했다.
2025.06.12
경찰, 예스24 랜섬웨어 해킹 사건 내사 착수 랜섬웨어 해킹을 당한 인터넷 서점 예스24에 대해 경찰이 입건 전 조사(내사)에 착수했다. 인천경찰청 사이버범죄수사대는 예스24 해킹 사건과 관련해 내사를 시작했다고 11일 밝혔다. 예스24 측은 한국인터넷진흥원(KISA)에 피해 신고를 했고, 경찰은 사안의 심각성 등을 고려해 직접 내사에 나서기로 결정했다. 경찰은 해킹범을 추적하는 동시에 구체적인 피해 규모 등을 확인할 계획이다. 예스24는 랜섬웨어에 의한 해킹 공격으로 9일 새벽부터 사흘째 홈페이지와 애플리케이션 접속 장애가 계속되고 있다. 도서 검색 및 주문, 티켓 예매, 이북(eBook), 전자도서관, 사락(독서 커뮤니티) 등 예스24의 모든 서비스가 중단됐다. 예스24는 홈페이지에 올린 공지글을 통해 "내부 조사 결과 개인정보 유출 정황은 확인되지 않았다"며 "이후 관계기관 조사에 성실히 임하고 그 결과를 다시 한번 공지하겠다"고 밝혔다. 경찰 관계자는 "가장 먼저 누가 해킹을 했는지 확인할 계획"이라며 "회원 개인정보 유출 여부 등도 조사할 것"이라고 말했다.
2025.06.11
서울도서관, '서울 거주자' 제한 푼다…전 국민 도서대출 가능 서울도서관이 '시민의 도서관'에서 '국민의 도서관'으로 거듭난다. 서울시는 서울 거주자에게만 제공했던 도서 대출 서비스 대상을 10일부터 대한민국 국민과 국내 거주 외국인으로 확대한다고 밝혔다. 기존에는 서울시 거주자이거나 서울에 직장·학교가 있는 시민만 책을 빌릴 수 있었다. 지리·문화적 접근성이 뛰어난 서울도서관의 특성상 타지역 시민들의 이용 수요가 높았지만 '서울 지역 제한' 규정으로 인해 대출 서비스를 이용할 수 없었다. 이번 서비스 개선으로 대한민국 국민과 국내 거주 외국인이라면 누구나 온라인 회원가입만으로 서울도서관 도서 대출이 가능해진다. 1인당 7권까지 도서 대출이 가능하고, 매주 수요일에는 대출 가능 권수가 14권으로 늘어난다. 서울 시민과 타지역 거주민은 '정회원'과 '준회원'으로 구분된다. 정회원과 준회원 모두 도서 대출이 가능하지만, 전자책 대여 서비스는 정회원에게만 제공된다. 시는 서울도서관 이용 편의성도 대폭 개선한다. 개인정보 재동의 기간을 2년에서 4년으로 확대하고, 홈페이지에서 직접 주소 변경이 가능하도록 시스템을 개편한다. 가족 회원 간 대출 목록을 온라인으로 공유할 수 있는 서비스도 새롭게 추가한다.
2025.06.10
중국서 개인정보 40억건 유출…위챗·알리페이 피해 중국에서 사상 최대 규모인 40억건의 개인정보가 유출되는 사고가 발생했다. 홍콩 성도일보는 해외 보안 전문 매체 사이버뉴스를 인용해 10일 이같이 보도했다. 보도에 따르면 사이버뉴스 연구팀은 최근 631기가바이트(GB) 분량의 개인 정보 데이터 최대 40억건이 비밀번호 없이 노출된 것을 발견했다. 유출된 데이터베이스 가운데 가장 큰 'wechatid_db'는 8억500만건 이상의 정보를 담고 있었다. 이 같은 정보는 위챗(중국판 카카오톡)에서 수집된 것으로 추정된다. 두 번째로 큰 'address_db'에는 실제 주소 정보 7억8천만건이 담겼다. 세 번째 규모인 'bank'에는 신용카드 번호, 생년월일, 이름, 전화번호를 포함한 6억3천만건 이상의 금융 데이터가 포함됐다. 연구팀은 이 세 가지 데이터 세트에만 접근하면 해커가 특정 사용자의 거주지, 지출 습관, 부채 및 저축을 알아낼 수 있다고 지적했다. 또 약 5억7700만건의 정보가 담긴 'wechatinfo'라는 데이터베이스에는 위챗 통신 로그와 사용자 대화가 들어있을 가능성이 크다. 3억건의 자료가 담긴 'zfbkt_db'에는 즈푸바오(알리페이) 카드와 토큰 정보도 포함돼 있다. 연구팀은 해커가 인증되지 않은 계정에 대한 활성화를 시도하고 사용자 신원을 도용할 수 있다고 경고했다. 연구팀은 "데이터베이스가 신중하게 수집 및 관리돼 왔다"면서 "거의 모든 중국 시민의 행동, 경제, 사회 데이터를 파악하는 데 악용될 수 있다"고 전했다. 대만 경제일보는 피해자 가운데 대만인도 포함돼 있다고 전했다.
2025.06.10
