외부 공격자 해킹 의심 정황... 특정 변조 IP 차단 조치
아이디·이름·생년월일·직업·학력 등 총 12개 항목, 공격자 접근 확인...개인정보 유출 우려
사회복지자원봉사인증관리시스템 홈페이지 점검 이후 현재는 정상화
[보안뉴스 이소미 기자] 보건복지부 산하 한국사회복지협의회(이하 협의회)가 운영하는 ‘사회복지자원봉사인증관리시스템(VMS)’ 홈페이지가 외부 해킹 공격을 받아 약 135만 명의 개인정보 유출이 의심되는 사고가 발생했다고 15일 밝혔다.
사회복지자원봉사인증관리시스템은 자원봉사자 모집·배치, 봉사실적 정보 등이 담긴 데이터베이스가 포함된다. 유출이 의심되는 항목으로 △회원아이디 △이름 △영문성명 △생년월일 △성별 △주소 △연락처 △이메일 등의 8개 기본정보와 △직업 △학교정보 △학력 △자격면허 등의 4개 선택정보로 총 12개 항목이다.
▲유출 의심 대상자들에게 발송된 문자 내역 및 VMS 홈페이지 점검 화면[이미지=보안뉴스]
협의회 측은 해당 해킹 사고와 관련해 지난 1월 7일에 처음 시도된 것으로 추정하고 있으며, 이로 인한 개인정보 유출 의심 정황은 12일에 인지했다고 밝혔다. 당시 공격자가 불법 취득한 아이디를 이용해 자원봉사인증관리시스템에 부정 로그인을 시도했는데, 변조 IP로 침입해 공격자의 국가 등은 추적이 어려운 상황이라고 전했다. 또한, 회원정보 유출과 관련해 해당 정보들이 담긴 페이지에 공격자가 접근한 이력이 있어 추측한 것으로 개인정보 유출 여부는 아직 확인되지 않은 상황이다.
다만, 유출을 인지한 즉시 해당 침해 요인에 대해 보완 조치하고, 해킹에 사용된 것으로 보이는 IP 차단 및 홈페이지 취약점 추가 점검을 완료했다고 공지했다. 이어 각 회원들에게 해당 사실을 즉시 알려 비밀번호 변경 등의 조치를 안내했다. VMS 홈페이지는 점검 이후 서비스 운영을 재개해 현재는 정상 운영 중이다.
또한 이번 사건과 관련해 경찰청 사이버수사대 및 개인정보보호위원회 등 전문기관의 협조를 의뢰해 정확한 공격경로와 함께 악용된 취약점 등을 파악할 예정이라고 밝혔다. 협의회는 피해를 최소화하기 위해 유출 의심 대상자에게 이메일 및 문자메시지 발송을 통한 안내를 진행했으며, VMS 홈페이지 공지 및 협의회 내 민원 등 사고대응팀 운영을 통해 사용자들의 불안감을 해소할 계획이라고 전했다.
협의회는 “자원봉사자분들께 심려와 불편을 끼쳐 드리게 돼 진심으로 사과드린다”며, “이번 일을 계기로 개인정보보호 조치 강화 등 내부 개인정보보호 관리체계를 한층 더 개선하도록 하겠다”고 밝혔다.
이어 “개인정보 악용으로 의심되는 전화, 메일 등을 받거나 기타 문의사항이 있는 경우 민원 안내 담당 부서로 연락을 취해 달라”고 공지했다. 또한, 웹사이트 명의도용, 보이스피싱, 파밍 등 해킹으로 인한 2차 피해 방지를 위해 비밀번호 변경을 당부했다.
한편, 협의회 경영지원실(정보화팀) 관계자는 “개인정보보호를 위해 최선을 다했으나 미처 예측하지 못한 취약점으로 인해 피해를 입게 됐다”며, “보다 정밀하게 점검하고 향후 대응조치를 마련해 나가겠다”면서 이후 전문기관들을 통해 파악된 조사결과를 토대로 추가 입장을 밝히겠다고 말했다.
[이소미 기자(boan4@boannews.com)]
아이디·이름·생년월일·직업·학력 등 총 12개 항목, 공격자 접근 확인...개인정보 유출 우려
사회복지자원봉사인증관리시스템 홈페이지 점검 이후 현재는 정상화
[보안뉴스 이소미 기자] 보건복지부 산하 한국사회복지협의회(이하 협의회)가 운영하는 ‘사회복지자원봉사인증관리시스템(VMS)’ 홈페이지가 외부 해킹 공격을 받아 약 135만 명의 개인정보 유출이 의심되는 사고가 발생했다고 15일 밝혔다.
사회복지자원봉사인증관리시스템은 자원봉사자 모집·배치, 봉사실적 정보 등이 담긴 데이터베이스가 포함된다. 유출이 의심되는 항목으로 △회원아이디 △이름 △영문성명 △생년월일 △성별 △주소 △연락처 △이메일 등의 8개 기본정보와 △직업 △학교정보 △학력 △자격면허 등의 4개 선택정보로 총 12개 항목이다.
▲유출 의심 대상자들에게 발송된 문자 내역 및 VMS 홈페이지 점검 화면[이미지=보안뉴스]
협의회 측은 해당 해킹 사고와 관련해 지난 1월 7일에 처음 시도된 것으로 추정하고 있으며, 이로 인한 개인정보 유출 의심 정황은 12일에 인지했다고 밝혔다. 당시 공격자가 불법 취득한 아이디를 이용해 자원봉사인증관리시스템에 부정 로그인을 시도했는데, 변조 IP로 침입해 공격자의 국가 등은 추적이 어려운 상황이라고 전했다. 또한, 회원정보 유출과 관련해 해당 정보들이 담긴 페이지에 공격자가 접근한 이력이 있어 추측한 것으로 개인정보 유출 여부는 아직 확인되지 않은 상황이다.
다만, 유출을 인지한 즉시 해당 침해 요인에 대해 보완 조치하고, 해킹에 사용된 것으로 보이는 IP 차단 및 홈페이지 취약점 추가 점검을 완료했다고 공지했다. 이어 각 회원들에게 해당 사실을 즉시 알려 비밀번호 변경 등의 조치를 안내했다. VMS 홈페이지는 점검 이후 서비스 운영을 재개해 현재는 정상 운영 중이다.
또한 이번 사건과 관련해 경찰청 사이버수사대 및 개인정보보호위원회 등 전문기관의 협조를 의뢰해 정확한 공격경로와 함께 악용된 취약점 등을 파악할 예정이라고 밝혔다. 협의회는 피해를 최소화하기 위해 유출 의심 대상자에게 이메일 및 문자메시지 발송을 통한 안내를 진행했으며, VMS 홈페이지 공지 및 협의회 내 민원 등 사고대응팀 운영을 통해 사용자들의 불안감을 해소할 계획이라고 전했다.
협의회는 “자원봉사자분들께 심려와 불편을 끼쳐 드리게 돼 진심으로 사과드린다”며, “이번 일을 계기로 개인정보보호 조치 강화 등 내부 개인정보보호 관리체계를 한층 더 개선하도록 하겠다”고 밝혔다.
이어 “개인정보 악용으로 의심되는 전화, 메일 등을 받거나 기타 문의사항이 있는 경우 민원 안내 담당 부서로 연락을 취해 달라”고 공지했다. 또한, 웹사이트 명의도용, 보이스피싱, 파밍 등 해킹으로 인한 2차 피해 방지를 위해 비밀번호 변경을 당부했다.
한편, 협의회 경영지원실(정보화팀) 관계자는 “개인정보보호를 위해 최선을 다했으나 미처 예측하지 못한 취약점으로 인해 피해를 입게 됐다”며, “보다 정밀하게 점검하고 향후 대응조치를 마련해 나가겠다”면서 이후 전문기관들을 통해 파악된 조사결과를 토대로 추가 입장을 밝히겠다고 말했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)