SK스토아·동행복권 해킹당해 87만여명 개인정보 털려
크리덴셜스터핑, 이상행위 탐지와 차단 조치 당부
[보안뉴스 박은주 기자] SK스토아와 동행복권에 19억 4280만원의 과징금이 부과됐다. 보안 소홀로 총 87만명의 고객 개인정보가 털리면서다.
▲SK스토아 개인정보 유출사고 개요[자료=개인정보위]
22일 개인정보보호위원회(위원장 고학수)는 제2회 전체회의를 열고, 개인정보 보호법을 위반한 ‘SK스토아’에 과징금 14억 3200만원, 과태료 300만원을 ‘동행복권’에 과징금 5억 300만원, 과태료 480만원을 부과했다고 23일 밝혔다.
개인정보위에 따르면 SK스토아는 지난 11월 자사 쇼핑몰에 크리덴셜 스터핑(Credential Stuffing) 공격을 당해 12만 5000명 개인정보가 유출됐다. 크리덴셜스터핑은 한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입하는 공격이다.
해커는 국내외 14개 아이피(IP) 주소를 통해 1초당 372회, 총 4400만번 이상 대규모 로그인을 시도했다. 이 중 12만 5000개 회원 계정이 로그인에 성공했고, 개인정보가 담긴 웹페이에 접근할 수 있었다.
SK스토아는 비정상적인 접속 시도를 방지하는 침임 탐지·차단 대책 및 이상행위 대응 등 안전조치의무 준수를 소홀히 했다. 심지어 일부 웹페이지에서는 이용자 비밀번호가 암호화되지 않고 평문으로 송·수신된 사실도 확인됐다.
▲동행복권 개인정보 유출사고 개요[자료=개인정보위]
동행복권은 지난 11월 자사 웹사이트 비밀번호 변경 취약점을 악용한 해킹으로 75만 개인정보가 유출됐다. 비밀번호 변경 시 사용자 아이디를 조작하고, 조작한 아이디의 비밀번호가 바뀌는 취약점이다. 해커는 동행복권 회원 아이디 목록을 사전에 확보하고 있었다.
개인정보위는 비밀번호 변경 기능을 설계·구현할 때 사용자 인증관련 보안 취약점에 대해 점검·개선 조치가 소홀했다고 지적했다. 이상행위 탐지와 차단 등 안전조치도 미흡한 사실도 드러났다.
유출 사고 발생 후, SK스토아와 동행복권은 비정상적인 접속시도를 탐지·차단하는 조치 등을 취하며 보호법 위반사항을 시정했다.
개인정보위는 “최근 크리덴셜스터핑 등 해킹공격이 빈번하다”며 “침입 탐지와 차단 조치 등 보안대책을 강화하고, 인증 관련 취약점 점검 등에도 각별히 주의를 기울여야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]
크리덴셜스터핑, 이상행위 탐지와 차단 조치 당부
[보안뉴스 박은주 기자] SK스토아와 동행복권에 19억 4280만원의 과징금이 부과됐다. 보안 소홀로 총 87만명의 고객 개인정보가 털리면서다.
▲SK스토아 개인정보 유출사고 개요[자료=개인정보위]
22일 개인정보보호위원회(위원장 고학수)는 제2회 전체회의를 열고, 개인정보 보호법을 위반한 ‘SK스토아’에 과징금 14억 3200만원, 과태료 300만원을 ‘동행복권’에 과징금 5억 300만원, 과태료 480만원을 부과했다고 23일 밝혔다.
개인정보위에 따르면 SK스토아는 지난 11월 자사 쇼핑몰에 크리덴셜 스터핑(Credential Stuffing) 공격을 당해 12만 5000명 개인정보가 유출됐다. 크리덴셜스터핑은 한 웹사이트에서 훔친 로그인 정보를 다른 웹사이트에 무차별 대입하는 공격이다.
해커는 국내외 14개 아이피(IP) 주소를 통해 1초당 372회, 총 4400만번 이상 대규모 로그인을 시도했다. 이 중 12만 5000개 회원 계정이 로그인에 성공했고, 개인정보가 담긴 웹페이에 접근할 수 있었다.
SK스토아는 비정상적인 접속 시도를 방지하는 침임 탐지·차단 대책 및 이상행위 대응 등 안전조치의무 준수를 소홀히 했다. 심지어 일부 웹페이지에서는 이용자 비밀번호가 암호화되지 않고 평문으로 송·수신된 사실도 확인됐다.
▲동행복권 개인정보 유출사고 개요[자료=개인정보위]
동행복권은 지난 11월 자사 웹사이트 비밀번호 변경 취약점을 악용한 해킹으로 75만 개인정보가 유출됐다. 비밀번호 변경 시 사용자 아이디를 조작하고, 조작한 아이디의 비밀번호가 바뀌는 취약점이다. 해커는 동행복권 회원 아이디 목록을 사전에 확보하고 있었다.
개인정보위는 비밀번호 변경 기능을 설계·구현할 때 사용자 인증관련 보안 취약점에 대해 점검·개선 조치가 소홀했다고 지적했다. 이상행위 탐지와 차단 등 안전조치도 미흡한 사실도 드러났다.
유출 사고 발생 후, SK스토아와 동행복권은 비정상적인 접속시도를 탐지·차단하는 조치 등을 취하며 보호법 위반사항을 시정했다.
개인정보위는 “최근 크리덴셜스터핑 등 해킹공격이 빈번하다”며 “침입 탐지와 차단 조치 등 보안대책을 강화하고, 인증 관련 취약점 점검 등에도 각별히 주의를 기울여야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)