"kisa"에 대한 통합검색 결과
통합검색(23)
정치(1)
검색결과 총 23건
"'써브웨이'도 최소 5개월 개인정보 무방비 노출" 샌드위치 프랜차이즈 써브웨이에서도 고객 개인정보가 무방비 상태로 노출된 정황이 드러났다. 파파존스, 머스트잇 등에서도 개인정보 유출 사고가 발생한 데 이어 보안 허점이 드러나 소비자 우려가 커지고 있다. 30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템에서 다른 고객의 개인정보를 손쉽게 열람할 수 있는 보안 취약점이 발견됐다고 지적했다. 이에 따르면 누구나 로그인 없이 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처와 주문 정보가 그대로 화면에 표시된다. 최 위원장은 "사례 확인 결과, 최소 5개월간은 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다"고 말했다. 실제 고객 정보 유출 여부와 유출 규모는 확인이 되지 않는 상황이다. 전문가들은 이번 사고가 홈페이지 개편 과정에서 적절한 보안 검토 절차를 거치지 않아 발생한 것으로 보고 있다. 써브웨이는 "최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했고, 조치해 문제를 해결한 상태"라며 "정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다"고 밝혔다. 앞서 파파존스도 URL 뒷자리 숫자를 바꿔 넣는 방식으로 고객 이름, 연락처와 신용카드 번호, 공동현관 비밀번호까지 노출됐다. 명품 온라인 플랫폼 머스트잇도 인증 없이 회원 개인정보가 조회되는 취약점이 발견됐다. 개인정보를 허술하게 관리하면 최대 5천만원의 과태료가 부과될 수 있으며, 전체 매출액의 3% 범위에서 과징금을 물 수 있다. 약 6만5천건의 개인정보를 유출한 카카오는 과징금 151억원을, 221만여명의 이름과 전화번호를 유출한 골프존은 75억원을 부과받은 사례가 있다. 최민희 위원장은 "온라인 주문 서비스가 일상화된 상황"이라며 "규제나 처벌 강화 등 정부 차원의 대책 마련이 필요하다"고 말했다.
2025.06.30
예스24 입장문 사실과 다르다? KISA "기술 지원 협조하지 않아" 해킹으로 인한 서비스 마비 사태가 진행 중인 국내 최대 규모 인터넷서점 예스24가 사이버 보안 당국과 협력해 복구 작업에 총력을 다하고 있다며 입장을 발표한 데 대해 한국인터넷진흥원(KISA)이 반박했다. 11일 한국인터넷진흥원(KISA)은 보도자료를 통해 "예스24가 입장문에서 'KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다'고 발표했지만 이는 사실과 다르다"라고 밝혔다. KISA는 "사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 지난 10일과 11일 2차례 방문했으나, 현재까지 예스24는 KISA의 기술지원에 협조하지 않고 있다"고 지적했다. 이어 "현재까지 10일 첫 현장 출동 때 예스24로부터 당시 상황을 구두로 공유받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다"며 "예스24에 지속적인 협력을 요청할 예정"이라고 밝혔다. 이는 전날 예스24가 낸 입장문에서 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 적은 것과는 다른 부분이다. KISA 관계자는 "예스24가 신속히 서비스를 정상 복구하고 사고 원인 분석 등이 이뤄질 수 있도록 지속적인 협력을 요청할 예정"이라고 말했다. 이같은 입장에 예스24 측은 "전문 분석팀을 보유하고 있는 경우에는 자사에서 1차 분석 후 KISA와 함께 종합적으로 검토하는 절차를 따르고 있다"고 밝혔다. 개인정보보호위원회도 예스24가 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 밝힘에 따라 개인정보 유출 여부에 대한 조사에 착수했다.
2025.06.12
경찰, 예스24 랜섬웨어 해킹 사건 내사 착수 랜섬웨어 해킹을 당한 인터넷 서점 예스24에 대해 경찰이 입건 전 조사(내사)에 착수했다. 인천경찰청 사이버범죄수사대는 예스24 해킹 사건과 관련해 내사를 시작했다고 11일 밝혔다. 예스24 측은 한국인터넷진흥원(KISA)에 피해 신고를 했고, 경찰은 사안의 심각성 등을 고려해 직접 내사에 나서기로 결정했다. 경찰은 해킹범을 추적하는 동시에 구체적인 피해 규모 등을 확인할 계획이다. 예스24는 랜섬웨어에 의한 해킹 공격으로 9일 새벽부터 사흘째 홈페이지와 애플리케이션 접속 장애가 계속되고 있다. 도서 검색 및 주문, 티켓 예매, 이북(eBook), 전자도서관, 사락(독서 커뮤니티) 등 예스24의 모든 서비스가 중단됐다. 예스24는 홈페이지에 올린 공지글을 통해 "내부 조사 결과 개인정보 유출 정황은 확인되지 않았다"며 "이후 관계기관 조사에 성실히 임하고 그 결과를 다시 한번 공지하겠다"고 밝혔다. 경찰 관계자는 "가장 먼저 누가 해킹을 했는지 확인할 계획"이라며 "회원 개인정보 유출 여부 등도 조사할 것"이라고 말했다.
2025.06.11
'이틀째 접속 장애' 예스24, 해킹당해…"랜섬웨어 공격" 이틀째 홈페이지와 애플리케이션 접속 장애가 이어지고 있는 인터넷서점 예스24가 랜섬웨어 해킹을 당한 것으로 파악됐다. 10일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 예스24는 전날 오후 KISA에 해킹 피해 사실을 신고했다. 예스24는 전날 새벽부터 홈페이지와 앱 서비스가 접속 불능 상태가 돼 많은 이용자들이 불편을 겪고 있다. 도서 검색이나 주문 도서 배송 조회는 물론, 각종 티켓 예매 등 예스24의 온라인 서비스 대부분을 이용할 수 없는 상태다. 최 의원실에 따르면 예스24는 해커들이 회원 정보 등을 암호화해 해독하지 못하는 상태다. 해커들은 암호화를 풀어주는 대가로 금전을 요구하는 것으로 전해졌다. 예스24는 한국인터넷진흥원에 사이버 공격 관련 기술 지원 동의를 하지 않아 진흥원 측이 사고 조사를 위한 정보에 접근하는 데 한계가 있다. 예스24가 사이버 공격 피해를 본 지 24시간 안에 관계 당국에 신고해야 하는 규정을 지켰는지 여부는 알려지지 않았다.
2025.06.10
디올, 한국 고객정보 해킹당해…KISA에도 미신고 명품 브랜드 디올이 해킹을 당해 한국 고객 정보가 누출됐음에도 한국인터넷진흥원(KISA)에는 신고를 하지 않은 사실이 밝혀졌다. 14일 국회 과학기술정보방송통신위 국민의힘 최수진 의원실에 따르면, 디올은 해킹 발생과 관련해 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA에는 아무 조처를 하지 않았다. 디올은 앞서 홈페이지 고지를 통해 "외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 7일 발견했다"며 "영향을 받은 데이터에는 고객의 연락처 정보, 구매·선호 데이터가 포함된다"고 밝혔다. 접근된 데이터베이스에는 은행 정보, IBAN(국제은행계좌번호), 신용카드 정보를 포함한 어떠한 금융 정보도 포함되지 않은 것으로 전해진다. 의원실은 이번 사건의 경우 디올 본사에서 해킹이 발생해 국내 이용자의 정보가 누출된 것으로, 디올 본사는 해외법인이고 국내 법인인 디올코리아와는 다르지만 현행법상 국내 이용자 피해가 발생하면 엄연히 KISA 신고 대상에 해당한다고 짚었다. 정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 또 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시했다. KISA는 디올코리아에 미신고에 대한 문제점을 전화로 설명한 것으로 전해졌다. 과기부에서 해킹 미신고와 관련해 고발 조치를 취할 경우 과태료 3천만원 이하 처벌 대상이다. 최 의원실 관계자는 "최근 SK텔레콤도 해킹 이틀 만에 늦장 신고를 했고 디올의 경우 개보위에만 신고하고 KISA에는 신고를 하지 않은 것을 보면, 진흥원의 신고업무와 관련해 업계 측에 정책 홍보가 미비한 것으로 해석될 수 있다"고 지적했다.
2025.05.14
SKT "'유심 재고 도착' 문자? 스미싱 주의"…링크 클릭 금지 SK텔레콤이 유심 교체를 예약한 가입자들에게 재고 도착 공지를 빙자한 스미싱에 유의해야 한다고 2일 당부했다. SK텔레콤은 이날 서울 중구 T타워에서 연 서버 해킹 사태에 관한 브리핑에서 유심 재고 도착 문자와 관련해 "아직 그러한 문자를 보내지 않고 있다. 대기 순서가 되면 114 번호를 통해 발송할 것"이라고 밝혔다. 이번 정보 유출 사태로 인해 스미싱 문자가 증가한 것과 관련해 경찰청 등 관계기관과 스미싱 피해 방지 활동을 확대하겠다고 덧붙였다. 한국인터넷진흥원(KISA)은 유심 재고 도착으로 속인 스미싱 문자 유포에 대해 24시간 감시 체계를 동원, 모니터링 중이라고 밝혔다. 또 아직 이와 관련한 직접적 피해는 발견되지 않았다고 전했다. KISA 관계자는 "SKT나 공공기관의 공지 문자로 위장한 스미싱 문자에 링크가 포함됐을 경우 절대로 클릭하지 말고 삭제해 달라"고 주의를 당부했다.
2025.05.02
현대차그룹 일부 임직원 개인정보 유출…이름·메일주소 등 현대차그룹에서 일부 임직원 개인정보가 유출되는 보안 사고가 발생했다. 현대차그룹은 30일 오후 그룹사 임직원들에게 문자메시지(SMS)와 이메일을 보내 "올해 3월 초 해외 법인의 보안 사고를 관계 기관에 신고하고 원인에 대한 조사를 진행해왔다"며 "최근 해당 기관으로부터 조사 결과를 통보받아 개인정보 유출 신고를 권고받았다"고 밝혔다. 이번 보안 사고로 유출된 항목은 그룹 일부 임직원들의 회사명과 이름, 사내 업무 시스템의 계정정보, 이메일, 부서명, 직급정보 등이다. 현대차그룹은 침해 사고에 사용된 IP 주소를 차단하고, 유출 가능성이 있는 계정의 비밀번호는 변경 조치했다. 2차 피해 방지를 위해 사내 업무 시스템과 동일한 비밀번호를 사용하는 개인 계정은 패스워드를 변경할 것을 권고했다. 이번 보안 사고가 고객 정보나 기술, 신차 개발 정보와는 무관한 것으로 알려졌다. 현대차그룹은 "한국인터넷진흥원(KISA)의 권고 사항을 이행하고, IT 보안 아키텍처를 점검해 사이버 침해사고가 재발하지 않도록 최선을 다하겠다"고 전했다.
2025.04.30
유영상 SKT 대표 "전 가입자 2500만명 정보유출 가능성 대비" 유영상 SK텔레콤 대표가 해킹 사태로 SKT망 사용 알뜰폰을 포함한 전 가입자 2500만명의 정보 유출 가능성에 대비 중이라고 30일 밝혔다. 유 대표는 이날 과학기술정보방송통신위원회가 연 'YTN 등 방송통신 분야 청문회'에 증인으로 출석해 전체 가입자 정보 유출 가능성을 묻는 최수진 국민의힘 의원의 질문에 "최악의 경우 그럴 수 있다고 가정하고 준비하는 중"이라고 말했다. 최 의원은 "전체 가입자에 대한 보상을 전제하에 대책을 수립해야 한다"고 강조했다. 유 대표는 해킹 사건에 대해 최초 보고를 받은 시점을 20일 오전 8시라고 전하며 "20일 오후 2시 (경영진) 전체회의를 할 때 해킹에 대해 늦었지만 바로 신고하라고 지시했다"고 덧붙였다. 이날 청문회에서는 SK텔레콤이 기업 규모에 비해 정보보호 투자가 부족한 점을 질책했다. 이해민 조국혁신당 의원은 통신 3사의 지난해 정보보호 투자액을 들어 SK텔레콤이 600억원대로 통신 3사 중 가장 낮은 점과 올해 정보보호 임원 회의를 한 번도 열지 않은 점을 지적했다. 유 대표는 "SK텔레콤뿐 아니라 자회사 SK브로드밴드의 정보보호 투자 규모를 합하면 800억원 수준"이라고 해명했다. 또 이번 해킹에서 사용된 것으로 파악된 BPF도어(BPFDoor) 공격이 지난해 국내 통신사에 감행됐다는 점에 대해 "보고받지 못했다. 송구하다"고 말했다. 이상중 한국인터넷진흥원(KISA) 원장은 "해킹 주체를 북한이라고 볼 증거가 작다고 보나"라는 이상휘 국민의힘 의원 질문에 "그렇다"고 대답했다.
2025.04.30
SKT 개인정보 해킹…당국 비상대책반 구성 SK텔레콤이 이용자 해킹 공격을 받아 관계 당국이 비상대책반을 구성하는 등 대응에 나섰다. 22일 SK텔레콤은 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등으로 알려졌다. 이름, 주민등록번호, 휴대 전화번호 등 민감정보 유출 여부는 조사 중이다. SK텔레콤은 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치했다고 전했다. 또 현재 정확한 유출 원인과 규모, 상세 시스템 침입 경로, 해킹 방식, 서버 보안 취약점 등을 파악 중이라고 설명했다. 해킹 피해를 본 것으로 추정되는 장비는 4G 및 5G 고객들이 음성 통화를 이용할 때 단말 인증을 수행하는 서버로 알려졌다. SK텔레콤은 유출 사실을 인지한 후 다음 날 한국인터넷진흥원(KISA)에 침해 사고 사실을 신고하고, 개인정보보호위원회에도 개인정보 유출 정황을 신고했다. 과학기술정보통신부는 개인정보 유출 등 피해 현황, 보안 취약점 등 사고의 중대성을 고려해 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했다. SK텔레콤에 해킹 사고 관련 자료 보존과 제출을 요구했고 지난 21일부터 인터넷진흥원 관계자를 파견해 사고 경위를 조사 중이다. 과기정통부는 22일 오후 서울 중구 SK텔레콤 본사에서 사내 시스템에 대한 현장 조사를 진행할 예정이다. 당국의 사고 조사 과정에서 SK텔레콤이 보안 관리에 문제가 있었다고 판명될 경우 시정명령을 내릴 수 있다. SK텔레콤 관계자는 "현재 포렌식을 진행 중이나 악성코드의 특성상 유출된 정보와 그 규모를 단기간 내 파악하기는 어려우며 당국 조사가 진행 중이므로 세부적인 분석을 진행할 예정"이라고 말했다. SK텔레콤은 "홈페이지를 통해 이용자에 해킹 피해 사실을 고지하고 추가적인 안전 조치를 원하는 이용자를 위해 홈페이지와 T월드를 통해 유심 보호 서비스를 무료로 제공 중"이라고 밝혔다. 또 "이와 같은 일이 재발하지 않도록 보안 체계를 더욱 강화하고, 고객 정보 보호 방안 마련에도 최선을 다하겠다"며 사과했다.
2025.04.22
개인정보 유출 신고 2배 증가… 절반 이상 차지한 항목?개인정보 유출 사고가 여전히 심각한 사회적 문제로 떠오르는 가운데, 지난해 공공기관의 개인정보 유출 신고 건수가 전년 대비 2배 이상 증가한 것으로 나타났다. 특히 해킹으로 인한 유출 비중이 절반 이상을 차지하며 사이버 보안의 취약점이 다시 한번 드러났다. 21일 업계에 따르면, 개인정보보호위원회와 한국인터넷진흥원(KISA)은 ‘2024년 개인정보 유출 신고 동향 및 예방 방법’ 보고서를 발표했다. 이 보고서는 지난 1년간 접수된 개인정보 유출 사고를 분석해 원인별 예방 대책을 제시했다. 보고서에 따르면, 2023년 개인정보 유출 신고 건수는 총 307건으로 전년(318건)과 유사한 수준을 유지했다. 유출 원인으로는 해킹이 56%(171건)로 가장 높은 비중을 차지했고, 업무 과실(30%·91건)과 시스템 오류(7%·23건)가 뒤를 이었다. 특히 해킹 사고는 전년(151건) 대비 13.2% 증가해 개인정보 보호의 필요성이 더욱 강조됐다. 해킹 유형별로 살펴보면, 관리자 페이지의 비정상적인 접속(23건)이 가장 많이 발생했다. 이어 ▲SQL 인젝션(17건) ▲악성 코드 삽입(13건) ▲크리덴셜스터핑(9건) 순으로 나타났다. SQL 인젝션은 악의적인 명령어를 삽입해 데이터베이스를 조작하는 방식이며, 크리덴셜스터핑은 탈취한 계정 정보를 이용해 다른 웹사이트에 무단 로그인하는 기법이다. 이밖에도 원인이 명확하지 않은 해킹 사고(87건)도 전체 해킹 건수의 절반 이상을 차지했다. 업무 과실로 인한 개인정보 유출 사례는 ▲게시판이나 단체 채팅방에 개인정보 파일을 게시한 경우(27건) ▲이메일 동보 발송 시 개인정보가 포함된 경우(10건) ▲이메일·공문에 개인정보 파일을 잘못 첨부한 사례(7건) 등이 주를 이뤘다. 시스템 오류로 인한 유출 사고 중에서는 ▲소스코드 적용 오류(14건) ▲API 연동 오류(8건) 등이 많았다. 기관 유형별로는 공공기관이 전체 유출 신고의 34%(104건)를 차지하며, 2023년(41건) 대비 2배 이상 증가했다. 개인정보위는 이러한 증가 원인으로 2023년 9월 개정된 개인정보보호법을 꼽았다. 개정된 법안에 따르면 기존에는 1000명 이상의 개인정보가 유출된 경우에만 신고 의무가 있었으나, 이제는 민감 정보나 고유식별정보가 1건 이상 유출되더라도 반드시 신고해야 한다. 실제로 공공기관의 유출 신고 104건 중 68%(71건)는 1000건 미만의 개인정보 유출 사례였다. 공공기관 유형별로는 ▲중앙행정기관 및 지방자치단체(42%) ▲대학교 및 교육청(41%) ▲공공기관 및 특수법인(17%) 순으로 집계됐다. 반면, 민간기업의 유출 신고 건수는 전체의 66%(203건)로, 2023년(277건) 대비 감소했다. 민간기업 중에서는 중소기업(60%)의 비율이 가장 높았으며, 이어 ▲해외 사업자(12%) ▲협·단체(12%) ▲중견기업(11%) ▲대기업(5%) 순이었다. 한편, 개인정보위 관계자는 “개인정보 입력 페이지에서 비정상적인 아이디·비밀번호 대입 행위를 탐지·차단하는 조치를 마련하고, 웹 방화벽(WAF) 등의 보안 솔루션을 적극 도입해야 한다”고 강조했다. 또한, 보안 취약점을 사전에 점검하고 정기적인 보안 업데이트를 수행하는 것이 중요하다고 덧붙였다.
2025.03.21
