휴대전화번호, 이름, 성별 등 샘플 정보 공개...500달러 판매한다고 텔레그램에 공지
보안 전문가, 패스워드 평문 전송 및 암호화 미처리 등 개인정보 관리 소홀 지적
[보안뉴스 김경애 기자] 신원 미상의 해커가 국내 음악 방문교육 업체인 아이레슨 사이트의 개인정보 100만 건을 해킹으로 탈취했다고 주장하며, 텔레그램에 개인정보 샘플을 공개해 피해가 우려되고 있다.
▲해커가 아이레슨 사이트의 개인정보 100만건을 탈취했다고 주장하며, 텔레그램을 통해 개인정보 샘플을 공개한 화면[이미지=보안뉴스]
지난 4일 해커는 유출된 개인정보를 거래하는 텔레그램 채널을 통해 아이레슨 사이트에서 개인정보 100만 건을 해킹했다고 주장하며, 휴대전화번호, 이름, 성별 등의 샘플 정보를 공개했다. 이어 보유하고 있는 전체 개인정보를 500달러에 판매한다고 텔레그램을 통해 공지했다.
이에 <보안뉴스>가 유출된 개인정보를 확인해 봤다. 우선 해커가 공개한 데이터에는 017로 시작되는 오래된 정보도 포함돼 있어 010으로 시작되는 휴대폰 번호를 기준으로 연락을 시도해 봤다. 확인 결과 일부 전화 연결이 안 되거나 바뀐 번호도 있었으나, 해커가 공개한 개인정보와 상당수 일치했다. 실제 개인정보 유출이 의심되는 상황이다.
<보안뉴스>는 해당 업체에 개인정보 유출 정황을 알렸다. 해당 업체 관계자는 “우리도 전혀 몰랐던 상황”이라며 “홈페이지에 올라간 개인정보 전체가 탈취된 것이냐”며 당혹스러워 했다. 이에 아이레슨 측은 개인정보 유출 의심 사실을 서둘러 한국인터넷진흥원 등에 신고하고, 추후 절차에 따라 추가 피해 예방 조치를 취해야 할 것으로 보인다.
이번 사건과 관련해 에스케어 윤우희 부대표는 “아이레슨의 경우 홈페이지를 운영하면서 개인정보를 위탁하고 있다”며, “홈페이지 관리 업무를 위탁 받은 수탁사에서 개인정보를 수집 및 저장한 정보를 암호화하지 않았다”고 지적했다. 이어 “개인정보가 유출될 경우, 수탁사 관리 의무가 위탁사에 있어 아이레슨에서 책임을 져야 한다”면서도 “향후 구상권을 청구해 수탁사에게 책임을 물을 수 있다”고 지적했다.
특히, 윤 부대표는 “수탁사가 유사한 학원 또는 소규모 사업자의 홈페이지를 다수 관리해 왔다면 데이터 유출이 지속적으로 발생할 수 있다”고 우려했다.
또한 리니어리티 한승연 대표는 “정보가 유출된 사이트는 첫째, 개인정보를 평문으로 저장하고 둘째, 회원 가입 시 집주소, 전화번호를 비롯해 이용자의 사진까지 수집하며 셋째, 수강신청을 위한 결제기능이 존재하는 등 유출 범위가 넓어 이를 악용한 2차 피해 가능성이 우려된다”고 지적하며, “이용자들에게 정보 유출 사실을 조속히 통보하는 한편, 시큐어코딩 도입, 오래 보관하고 있는 개인정보 삭제 등 재발을 방지하기 위한 보안 조치를 빠르게 진행해야 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
보안 전문가, 패스워드 평문 전송 및 암호화 미처리 등 개인정보 관리 소홀 지적
[보안뉴스 김경애 기자] 신원 미상의 해커가 국내 음악 방문교육 업체인 아이레슨 사이트의 개인정보 100만 건을 해킹으로 탈취했다고 주장하며, 텔레그램에 개인정보 샘플을 공개해 피해가 우려되고 있다.
▲해커가 아이레슨 사이트의 개인정보 100만건을 탈취했다고 주장하며, 텔레그램을 통해 개인정보 샘플을 공개한 화면[이미지=보안뉴스]
지난 4일 해커는 유출된 개인정보를 거래하는 텔레그램 채널을 통해 아이레슨 사이트에서 개인정보 100만 건을 해킹했다고 주장하며, 휴대전화번호, 이름, 성별 등의 샘플 정보를 공개했다. 이어 보유하고 있는 전체 개인정보를 500달러에 판매한다고 텔레그램을 통해 공지했다.
이에 <보안뉴스>가 유출된 개인정보를 확인해 봤다. 우선 해커가 공개한 데이터에는 017로 시작되는 오래된 정보도 포함돼 있어 010으로 시작되는 휴대폰 번호를 기준으로 연락을 시도해 봤다. 확인 결과 일부 전화 연결이 안 되거나 바뀐 번호도 있었으나, 해커가 공개한 개인정보와 상당수 일치했다. 실제 개인정보 유출이 의심되는 상황이다.
<보안뉴스>는 해당 업체에 개인정보 유출 정황을 알렸다. 해당 업체 관계자는 “우리도 전혀 몰랐던 상황”이라며 “홈페이지에 올라간 개인정보 전체가 탈취된 것이냐”며 당혹스러워 했다. 이에 아이레슨 측은 개인정보 유출 의심 사실을 서둘러 한국인터넷진흥원 등에 신고하고, 추후 절차에 따라 추가 피해 예방 조치를 취해야 할 것으로 보인다.
이번 사건과 관련해 에스케어 윤우희 부대표는 “아이레슨의 경우 홈페이지를 운영하면서 개인정보를 위탁하고 있다”며, “홈페이지 관리 업무를 위탁 받은 수탁사에서 개인정보를 수집 및 저장한 정보를 암호화하지 않았다”고 지적했다. 이어 “개인정보가 유출될 경우, 수탁사 관리 의무가 위탁사에 있어 아이레슨에서 책임을 져야 한다”면서도 “향후 구상권을 청구해 수탁사에게 책임을 물을 수 있다”고 지적했다.
특히, 윤 부대표는 “수탁사가 유사한 학원 또는 소규모 사업자의 홈페이지를 다수 관리해 왔다면 데이터 유출이 지속적으로 발생할 수 있다”고 우려했다.
또한 리니어리티 한승연 대표는 “정보가 유출된 사이트는 첫째, 개인정보를 평문으로 저장하고 둘째, 회원 가입 시 집주소, 전화번호를 비롯해 이용자의 사진까지 수집하며 셋째, 수강신청을 위한 결제기능이 존재하는 등 유출 범위가 넓어 이를 악용한 2차 피해 가능성이 우려된다”고 지적하며, “이용자들에게 정보 유출 사실을 조속히 통보하는 한편, 시큐어코딩 도입, 오래 보관하고 있는 개인정보 삭제 등 재발을 방지하기 위한 보안 조치를 빠르게 진행해야 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
