#LG유플러스 #크리덴셜스터핑 #EU-미국데이터이전승인
2023/07/20 THU
안녕하세요. 오늘의 프리-뷰는 국내 기업 중 역대 최대 과징금을 받은 LG유플러스 소식과 이번 달 개인정보위 행정처분 내용, 그리고 끊이지 않는 크리덴셜 스터핑 피해 소식까지 싹 정리해서 가져왔어요😊
[휴재 공지]
프리-뷰는 내부 사정으로 인해 잠시 재정비 시간을 가질 예정이에요.
한 달간의 휴재 후, 9월에 다시 찾아올게요😉
개인정보 유출·시스템 부실 LG U+, 과징금 68억

올해 상반기 떠들썩했던 LG 유플러스의 개인정보 유출 사고에 대해 개인정보보호위원회의 행정처분이 발표되었습니다. LG유플러스가 1월에 18만 명의 개인정보 유출 사실2월에 추가로 확인된 11만 명의 유출 사실을 신고한 것에 대한 개인정보보호위원회의 조사 결과가 발표된 거예요.


LG유플러스는 개인정보 보호법 위반으로 과징금 68억 452,000원과 과태료 2,700만 원을 부과받았습니다. 이는 개인정보 보호법 위반으로 국내 기업에 내려진 과징금액 중 최대 금액이에요.

위반 내용을 자세히 살펴보면,


  1. 엘지유플러스의 고객인증 시스템(고객인증과 부가서비스 가입·해지 기능 제공)에서 데이터가 유출되었어요.
  2. 유출 항목은 휴대전화번호, 이름, 주소, 생년월일, 이메일주소, 아이디, USIM 고유번호 등 26개 항목이에요.
  3. 29만 명의 개인정보 유출은 2023년이 아닌 2018년 6월에 발생했어요. 유출 사실을 인지한 게 2023년 1월이고요.
  4. 2018년 6월 데이터가 유출된 이후 2023년 1월까지 고객인증 시스템의 보안 환경은 외부침입에 매우 취약한 상태였어요. 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹 서버, 웹 애플리케이션 서버(WAS) 등 소프트웨어 대부분이 2018년 6월 기준으로 단종되거나 기술 지원이 종료된 상태였거든요.
  5. 침입차단시스템, 침입방지시스템(IPS), 웹 방화벽 등 기본적인 보안 조치도 하지 않았어요. 운영 중이라 하더라도 보안 정책이 제대로 적용되지 않았고, 심지어 일부는 기술 지원이 중단된 상태였어요.
  6. 고객인증 시스템에 2009년과 2018년에 설치된 악성코드가 2023년 1월까지 삭제되지 않고 남아 있었고, 악성코드에 대한 점검이나 IPS의 악성코드 탐지‧차단 정책도 없었어요.
  7. 2008년부터 수집된 실제 고객 데이터를 개발 테스트 용도로 사용 후, 2023년 1월까지 삭제하지 않았어요. 확인된 개인정보만 1천만 건이 넘는다고 해요.
  8. DB에 대한 접근 권한과 접속 기록도 제대로 관리하지 않았어요. DB 접속 시 필요한 관리자 계정 암호로, 기본 패스워드 ‘admin’을 그대로 사용하고 있었어요.
  9. 개인정보 전송 기록 관리는 물론 비정상 행위 여부에 대한 탐지도 되지 않고 있었어요. 

과징금이 너무 적은 거 아냐?

운영 시스템의 보안 환경 자체가 전반적으로 부실하고 위반 사항이 많은데도 불구하고 과징금 68억은 너무 적은 것이 아니냐는 의견도 있어요. LG유플러스의 연 매출은 약 13조 원. 매출액의 최대 3%까지 과징금으로 부과될 수 있다는 점을 생각하면 수천억의 과징금이 아닌 68억의 과징금은 매우 적다는 거죠.

핵심은 과징금 산정 기준이 ‘법 위반행위 관련 매출액’이라는 점에 있어요. 정보가 유출된 고객인증시스템이 부가서비스와 관련된 것이니 관련 매출을 ‘부가서비스 매출’만으로 한정해야 한다는 엘지유플러스의 주장을 개인정보보호위원회가 인정한 거예요.

올해 9월 15일부터는 개인정보 보호법 개정안이 시행되며 과징금 산정 시 ‘법 위반행위 관련 매출액’이 아닌 ‘전체 매출액’이 기준이 되어요. 위반 행위와 관련 없는 매출액은 제외한다는 예외 조항이 있지만, 기준점 자체가 달라지기 때문에 앞으로의 행정 처분 결과를 주목할 필요가 있어요. 
지난주 발표된 개인정보보호위원회의 행정처분 소식 전해드려요. 이번 행정처분은 모두 개인정보가 유출된 사업자에 대해 내려졌습니다.

SK 입사지원자 개인정보 유출 관련

  • (주)BSC - 시정명령
  • SK 계열사, SK수펙스추구협의회 - 과태료 2,400만 원 및 시정명령

2021년 SK그룹 입사지원자 개인정보 1,679건이 유출된 사건에 대한 행정처분이에요. BSC가 운영하는 SK 관리자 페이지의 접근통제가 제대로 이뤄지지 않아 일부 사이트에서 검색을 통한 접근이 가능하여 입사지원자의 지원 결과가 노출되었어요. 이와 더불어 SK그룹의 채용종합역량검사를 대신 수행한 BSC는 채용이 끝난 응시자 정보를 파기하지도 않았어요. BSC는 시정명령 처분을, 수탁사 BSC의 업무 수행에 대해 관리를 소홀히 한 SK는 과태료 처분을 받았습니다. 

인크루트 개인정보 유출 관련

  • 인크루트 - 과징금 7,060만 원 및 과태료 360만 원

2020년 해커의 ‘크리덴셜 스터핑’ 공격으로 인해 인크루트 이용자 정보 35,076건이 유출된 데에 대한 행정처분이에요. 대규모 로그인 시도를 탐지하고 차단하는 정책을 소홀히 운영하고, 휴면계정 해제 시 추가 인증을 요구하지 않아 이용자의 개인정보가 유출되었어요.
이에 대해 인크루트는 이미 유출된 ID·PW를 여러 사이트에서 그대로 사용하는 사용자의 정보가 유출된 것으로, 회사의 개인정보 보호조치가 소홀하진 않았다고 반박하기도 했어요.

2023년 크리덴셜 스터핑 피해 확산

올해 발생한 개인정보 유출 사고의 대다수는 바로 ‘크리덴셜 스터핑’입니다. 프리-뷰에서도 관련 사건을 많이 다뤘었죠, 너무 많이 얘기해 이제 입이 아플 지경이에요😂 하지만 여전히 크리덴셜 스터핑으로 인한 피해가 계속 발생하고 있기에 다시 정리해봤어요😉

크리덴셜 스터핑이란?

    다른 곳에서 유출된 사용자들의 ID와 비밀번호를 이용해 여러 사이트에 로그인을 시도하고, 로그인될 경우 개인정보나 자료를 유출하는 무차별 대입 방법을 말해요. 같은 아이디와 비밀번호를 여러 사이트에 동일하게 사용하는 사람이 많다는 점을 이용한, 아주 기본적이면서도 강력한 공격 방법이죠.

    피해 기업

      지난주 과징금이 부과된 인크루트도 2020년 크리덴셜 스터핑으로 인해 개인정보가 유출이 된 사례죠. 최근까지도 피해가 끊이질 않고 있어요.

      • 스타벅스(7월): 개인정보 유출은 없었지만, 앱의 충전금을 무단 결제 및 사용하는 피해가 발생했어요. 피해 금액은 약 800만 원이에요.
      • 워크넷(7월): 23만 번의 로그인 시도가 있었으며, 정확한 피해 규모는 확인 중이에요. 이름부터 학력, 경력, 외국어 능력, 증명사진 등 18개 항목이 유출되었어요.
      • 한국장학재단(6월): 일주일간 두 차례 대규모 로그인 시도를 통해 이름부터 학자금 대출 관련 정보, 장학금 수혜 내역 등 소득분위를 확인할 수 있는 민감한 정보까지 함께 유출되었어요.
      • CU(4월): CU 멤버십 앱 ‘포켓CU’에서 개인정보가 유출되었어요. 유출된 인원은 약 600명 정도로, 기본 인적 사항은 물론 이용자들의 CU포인트 80만 원까지 탈취당했어요.
      • G마켓(1월): 이용자 중에서도 상품권 구매자가 크리덴셜 스터핑의 타깃이 되었어요. G마켓에서 구매한 상품권의 PIN 번호가 구매 내역에서 추가적 인증 조치 없이도 그대로 노출되는 점을 이용해 해커가 이를 탈취해 간 거죠.
      • 인터파크(1월): 크리덴셜 스터핑을 이용한 개인정보 78만 건이 유출되었어요. 이에 지난 6월 개인정보위로부터 과징금 10억 2,645만 원을 부과받았어요.

      피해를 막으려면

      • 💁🏻 개인 - 사이트별로 다른 아이디와 비밀번호를 설정해주세요. 모두 기억하기 어렵다면 나만의 규칙을 만들어 사이트별로 조금씩 다르게만 바꿔줘도 크리덴셜 스터핑 피해를 막을 수 있어요. ‘다중 인증’, ‘2단계 인증’도 함께 설정해주세요. '새로운 기기 로그인 알림 기능'도 있다면 함께요.

      • 🏢 기업 - 정상적인 로그인이라 하더라도, 특정 IP주소에서 대규모의 로그인 시도가 발생한다면 ‘크리덴셜 스터핑’ 공격일 수 있어요. 평소 IP주소 분석 및 차단 시스템을 운영하며 실시간 모니터링하는 것이 중요해요. 개인이 ID와 PW를 안전하게 관리할 수 있도록 주기적인 비밀번호 변경 안내, 다중 인증, 2단계 인증, 새 기기 로그인 알림 기능 등을 제공하고요.
      EU - 미국 개인정보 이전 협정 승인

      EU와 미국 간 개인정보를 자유롭게 이전하는 것을 허용하는 ‘데이터 프라이버시 프레임워크(Data Privacy Framework)’가 7월 10일 최종 적정성 결정을 받았어요. 이제 유럽 이용자의 데이터를 미국으로 이전하여 편리하게 관리할 수 있게 된 거예요. 기존에는 2000년에 미국과 EU가 맺은 ‘세이프 하버(Safe Harbor)’와 2016년 체결한 ‘프라이버시 실드(Privacy Shield)’ 협정이 있었지만, 각 협정을 2015년과 2020년에 유럽사법재판소가 무효화했어요. 


      프라이버시 실드 무효 3년 만에 새로운 개인정보 이전 협정이 승인되며 미국의 기업들, 특히 메타와 구글 같은 빅테크 기업이 크게 환영하고 있어요. 메타는 10월 중순까지 데이터 이전 합의가 되지 않는다면 유럽에서 서비스를 중단할 것이다고 밝히기도 했거든요. 한편 막스 슈렘스와 같은 시민단체 측은 기업에 유리한 협정일 뿐이라며 이의를 제기해, 이전 협정들처럼 이번 데이터 프라이버시 프레임워크 또한 몇 년 안에 무산되는 건 아닌지 걱정하는 의견도 있어요.
      HCA Healthcare 이용자 1100만 정보 유출
      미국 최대 의료서비스 제공업체 HCA Healthcare에서 1,100만 명의 개인정보와 의료정보가 유출됐다는 소식이에요. 이메일을 자동화하는 외부 저장소에서 병원 예약 및 교육 프로그램 관련 데이터가 유출되어, 민감한 의료 기록도 함께 유출된 것으로 추정되고 있어요. HCA가 현재 미국에서 180개 병원과 2,300개 헬스케어 서비스를 제공하는 만큼, 피해 규모가 매우 클 것으로 보여요. 개인정보 유출 이후, HCA는 4건의 집단 소송 당한 상태기도 해요. 
      미국 FTC, 챗GPT 개인정보 유출·오남용 조사

      미국 연방거래위원회(FTC)가 OpenAI의 챗GPT에 대한 소비자보호법 위반 여부를 조사하기 시작했어요. FTC는 OpenAI에 챗GPT 학습을 위해 어떤 자료를 사용했는지, 그 출처와 취득 방법을 요구했어요. 올해 3월 발생한 개인정보 유출 사고와 관련한 자료도 함께요. 이외에도 챗GPT가 제공하는 잘못된 정보로 인해 실존 인물의 평판이 훼손되는 등 기만적 행위를 했는지도 함께 조사 중이라고 해요. 이번 조사 결과에 따라 챗GPT에 대해 벌금이 부과되거나 심지어 서비스의 중단 명령까지 내려질 수 있는 만큼, FTC의 조사에 많은 사람들이 주목하고 있어요.

      오늘의 프리-뷰는 어떠셨나요?
      버튼을 눌러주시는 것만으로도 프리뷰 팀에 큰 힘이 됩니다 🙌
      좋았어요😊
      아쉬워요😞
      🖤 이전 프리-뷰가 궁금하신가요? 보기
      🖤 아직 구독하지 않으셨나요? 구독하기
      🖤 구독정보를 변경하고 싶으시다면? 변경하기
      주식회사 토브데이터 
      © 2023 TOVDATA INC. All Rights Reserved.
      contact@tovdata.com  |  수신거부