2023년 발생한 개인정보 유출 사고 조사

1. 리본즈 (REEBONZ) - 다크웹 개인정보 유출

• 사고 발생(확인) 날짜: 2023년 1월 6일 오후 3시경
• 개요: 명품 온라인 쇼핑몰 ‘리본즈’를 사칭해 ‘물품구매 승인 완료’ 문자를 발송한 뒤 악성 애플리케이션을 설치 유도하여 스미싱 및 보이스피싱을 한 사례이다.
• 상세 분석: 해당 스미싱 문자는 공통점이 보였는데, ‘[국제 발신]’으로 표시되거나, 결제된 금액이 ‘62만9,500원’으로 통일되어 있는 점이 확인되었다. 아래의 이미지 1은 실제 피해를 당한 사례들을 캡처한 이미지이다.
  
• 유출 정보: 개인 정보 유출 (회원아이디[이메일], 암호화된 비밀번호[식별 및 암호 해독 불가능])
• [과징금, 과태료 부과 결과]
  위반내용: 안전조치의무 위반(접근통제, 암호화)
  위반조항: 개인정보보호법 제29조
  시정조치(안): 시정명령, 과징금(17,201만원), 과태로(420만원), 공표

2. 골프존 - 랜섬웨어 감염으로 인한 개인정보 유출

• 사고 발생 날짜: 2023년 11월 22일~2023년 11월 23일

• 개요: 랜섬웨어 공격으로 골프존의 내부 파일 서버가 해킹당하며 개인정보가 유출되었다. 코로나 19 팬데믹으로 인해 재택근무를 위한 가설사설망(이하 VPN)을 도입했으나 이로 인해 민감한 개인정보가 유출되었다. 아래의 이미지2는 골프존의 피해 과정을 도식화한 것이다.
  

• 상세 분석: 해커들이 VPN의 보안 취약점을 통해서 서버 관리자 계정에 접근했다. 골프존의 파일 서버에는 암호화되지 않은 개인정보가 다량으로 저장되어 있었으며 보안 설정이 제대로 되지 않았으며 추가적로 주기적인 보안 점검이 이루어지지 않았으며 기한이 만료된 데이터 또한 파기되지 않았다. 또한 사고 발생 이후 고객들에게 통보하는데 3주가 소요 되었고, 초기에 개인정보 유출 사실을 부인하며 대응의 신속성과 투명성이 부족한 모습을 보였다.

• 유출 정보: 약 221만 명의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등) 유출 되었으며 추가로 5,831명의 피해자의 주민등록번호, 1,647명의 피해자는 계좌번호가 유출되었다. 또한 이 유출된 정보에는 탈퇴한 회원의 정보와 퇴사한 임직원의 정보 또한 포함되었다.

• 과징금, 과태료 부과 결과: 이후 추가적인 보안 조치를 했으나, 초기 대응이 미흡했으며 개인정보보호법 개정 후 첫 사례이기에, 위반 행위와 관련된 매출액이 아닌 전체 매출액의 3%를 기준으로 과징금이 책정되어 75억 400만 원의 과징금이 부과되었다. 또 개인정보 파기 의무를 준수하지 않은 것에 대해 540만 원의 과태료가 부과되었다.

3. 잡플래닛 - 다크웹 개인정보 유출

• 사고 발생(확인) 날짜: 2023년 12월 2일

• 개요: ‘Loser’라는 닉네임을 사용하는 해커가 12월 2일 다크웹에 ‘JOBPLANET.CO.KR 380K EMPLOYMENT SEEKERS DATABASE’라는 이름으로 샘플 자료를 공개했다. 공개한 샘플 데이터에는 이름, 이메일, 비밀번호, 주민등록번호, 생년월일, 전화번호’로 구성되어 있다. 해커는 샘플 자료의 공유와 함께 다크웹 네트워크 기반 메신저인 톡스(tox) ID, 텔레그램 아이디를 공개하기도 했다. 아래의 이미지 3은 해커가 다크웹에 실제 공개한 데이터 일부분을 캡처한 것이다.
  

• 상세 분석 : 해당 사례는 아주 오래전에 가입된 사용자의 데이터 또는 가짜 데이터(Fake Data)라는 의견이 존재한다. 일단, 해당 유출된 데이터 중에는 이미 통신 서비스가 종료된 삐삐 번호인 012, 015등이 포함되어 있는 등 현재 대한민국 사람들이 사용하지 않는 번호 구성을 가지고 있다. 또한, ‘잡플래닛’ 서비스 운영사인 ‘브레인커머스’는 주민등록번호를 수집하지 않으며, 암호화된 개인정보는 해킹이 불가능한 구조이고 제일 중요한 조사 결과 로그 상에서 해킹을 시도했거나 성공했다는 기록이 확인되지 않았다고 발표를 한 만큼 해당 다크웹에 올라온 데이터가 가짜 데이터일 확률이 높다.

• 유출 정보: 잡플래닛 가입 회원 개인정보 데이터 (가짜 데이터 의심)

• 과징금, 과태료 부과 결과: 없음 (확인되지 않음)

---

• 이미지 출처(위에서부터)
  -> 리본즈 사칭 피싱 문자 관련 온라인 지식인 문의들 [이미지=네이버 지식인]
  -> 골프존 자료 유출 사건 [자료=개인정보보호위원회]
  -> 잡플래닛 회원 정보로 추정되는 데이터를 유출했다고 주장했다[자료=다크웹], 보안뉴스
• 이외 참고자료
  -> 사고 조사
  https://www.pipc.go.kr/np/cop/bbs/selectBoardList.do?bbsId=BS074&mCode=C020010000
  -> 리본즈
  https://www.reebonz.co.kr/page/apologize
  https://m.boannews.com/html/detail.html?tab_type=1&idx=117228
  https://www.boannews.com/media/view.asp?idx=119136
  https://m.megaeconomy.co.kr/news/newsview.php?ncode=1065589724747057
  -> 골프존
  https://zdnet.co.kr/view/?no=20231215134449
  https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10158
  https://m.boannews.com/html/detail.html?idx=129668
  ->잡플래닛
  https://m.boannews.com/html/detail.html?idx=124496
  https://m.boannews.com/html/detail.html?idx=124455