.jpg)
하루 평균 162건씩 꾸준히 유출
“모니터 촬영 막을 방법 없다” 보안 대책 원점 재검토
[보안뉴스 조재호 기자] 신한카드 가맹점 대표자 정보 유출은 이 회사 직원 12명이 조직적으로 유출한 것으로 드러났다. 이들은 시스템 감시를 피하려고 모니터 화면을 촬영하거나 수기로 기록하는 등의 수법을 사용했다.
[자료: 신한카드]
24일 신한카드와 경찰 등에 따르면, 경찰청 국가수사본부 사이버테러대응과는 23일 신한카드 정보 유출 사건에 대해 내사를 지시했다. 경기북부경찰청 사이버수사과가 수사할 예정이다.
개인정보보호위원회 역시 신한카드 개인정보 유출 관련 조사에 착수한 상태다. 16일 공익신고 접수 후 사실관계 확인 과정에서 유출 정황이 확인된 데 따른 것이다. 개인정보 유출 경위와 규모,항목 및 개인정보보호법 위반 여부 등을 조사한다.
이번 사고는 5개 영업소 소속 직원 12명이 연루된 것으로 파악된다. 이들은 2022년 3월부터 올해 5월까지 약 3년 2개월 동안 가맹점 대표자 이름과 휴대전화번호, 생년월일 등 총 19만2088건의 개인정보를 무단으로 빼돌렸다. 유출된 정보는 신규 카드 모집 영업에 활용된 것으로 파악됐다.
이들은 회사 보안 시스템의 로그 기록을 남기지 않기 위해 아날로그 방식을 악용했다. 조회된 개인정보를 스마트폰으로 촬영하거나 종이에 직접 적어서 공유하는 방식으로 내부 통제망을 무력화했다. 신한카드는 3년 넘게 유출 사실을 인지하지 못하다가 최근 개인정보보호위원회에 접수된 공익 제보를 통해 사태를 파악하고 23일 신고했다.
신한카드는 이들 직원 12명을 업무에서 배제하고 형사 고발 등 법적 조치를 검토 중인 것으로 알려졌다. 영업소 실적과 수수료 증대를 위해 직원들이 조직적으로 정보를 유용한 것이란 판단이다. 외부 해킹이나 제3자 판매 정황은 없으나 철저한 조사를 진행 중이라고 회사측은 밝혔다.
이번 사고는 ‘내부자 위협’의 전형적 사각지대를 보여준다는 지적이 나온다. 곽진 아주대 사이버보안학과 교수는 “3년간 지속된 일탈을 막지 못한 것은 내부 통제 시스템의 총체적 부실”이라면서도 “시스템 접속 권한을 가진 직원이 사진 촬영 등 물리적 수법으로 정보를 유출할 경우 기술적 탐지에 한계가 있다”고 말했다.
곽 교수는 “가맹점주는 업무 특성상 모르는 전화라도 받을 수밖에 없는데, 범죄자들이 이를 악용할 경우 피싱 위험이 매우 높다”며 “최근 다수 해킹 피해가 발생한 상황에서 이번에 유출된 전화번호가 기존 유출 정보와 매핑(mapping)될 경우, 카드 정보나 통신사 정보까지 조회될 가능성도 높다”고 말했다. 2차 피해 우려가 크다는 지적이다.
신한카드는 홈페이지에 사과문을 게시하고 피해 여부 조회 시스템을 운영하고 있다. 회사는 “고객 보호와 재발 방지를 위해 최선의 노력을 다하겠다”며 “향후 고객 피해가 확인될 경우 신속하게 보상 절차를 밟겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
“모니터 촬영 막을 방법 없다” 보안 대책 원점 재검토
[보안뉴스 조재호 기자] 신한카드 가맹점 대표자 정보 유출은 이 회사 직원 12명이 조직적으로 유출한 것으로 드러났다. 이들은 시스템 감시를 피하려고 모니터 화면을 촬영하거나 수기로 기록하는 등의 수법을 사용했다.
[자료: 신한카드]
24일 신한카드와 경찰 등에 따르면, 경찰청 국가수사본부 사이버테러대응과는 23일 신한카드 정보 유출 사건에 대해 내사를 지시했다. 경기북부경찰청 사이버수사과가 수사할 예정이다.
개인정보보호위원회 역시 신한카드 개인정보 유출 관련 조사에 착수한 상태다. 16일 공익신고 접수 후 사실관계 확인 과정에서 유출 정황이 확인된 데 따른 것이다. 개인정보 유출 경위와 규모,항목 및 개인정보보호법 위반 여부 등을 조사한다.
이번 사고는 5개 영업소 소속 직원 12명이 연루된 것으로 파악된다. 이들은 2022년 3월부터 올해 5월까지 약 3년 2개월 동안 가맹점 대표자 이름과 휴대전화번호, 생년월일 등 총 19만2088건의 개인정보를 무단으로 빼돌렸다. 유출된 정보는 신규 카드 모집 영업에 활용된 것으로 파악됐다.
이들은 회사 보안 시스템의 로그 기록을 남기지 않기 위해 아날로그 방식을 악용했다. 조회된 개인정보를 스마트폰으로 촬영하거나 종이에 직접 적어서 공유하는 방식으로 내부 통제망을 무력화했다. 신한카드는 3년 넘게 유출 사실을 인지하지 못하다가 최근 개인정보보호위원회에 접수된 공익 제보를 통해 사태를 파악하고 23일 신고했다.
신한카드는 이들 직원 12명을 업무에서 배제하고 형사 고발 등 법적 조치를 검토 중인 것으로 알려졌다. 영업소 실적과 수수료 증대를 위해 직원들이 조직적으로 정보를 유용한 것이란 판단이다. 외부 해킹이나 제3자 판매 정황은 없으나 철저한 조사를 진행 중이라고 회사측은 밝혔다.
이번 사고는 ‘내부자 위협’의 전형적 사각지대를 보여준다는 지적이 나온다. 곽진 아주대 사이버보안학과 교수는 “3년간 지속된 일탈을 막지 못한 것은 내부 통제 시스템의 총체적 부실”이라면서도 “시스템 접속 권한을 가진 직원이 사진 촬영 등 물리적 수법으로 정보를 유출할 경우 기술적 탐지에 한계가 있다”고 말했다.
곽 교수는 “가맹점주는 업무 특성상 모르는 전화라도 받을 수밖에 없는데, 범죄자들이 이를 악용할 경우 피싱 위험이 매우 높다”며 “최근 다수 해킹 피해가 발생한 상황에서 이번에 유출된 전화번호가 기존 유출 정보와 매핑(mapping)될 경우, 카드 정보나 통신사 정보까지 조회될 가능성도 높다”고 말했다. 2차 피해 우려가 크다는 지적이다.
신한카드는 홈페이지에 사과문을 게시하고 피해 여부 조회 시스템을 운영하고 있다. 회사는 “고객 보호와 재발 방지를 위해 최선의 노력을 다하겠다”며 “향후 고객 피해가 확인될 경우 신속하게 보상 절차를 밟겠다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
