개인정보위, 랜섬웨어로 개인정보 유출된 사업자 제재
[보안뉴스 강현주 기자] SGI서울보증이 SSL-VPN을 통해 랜섬웨어에 감염된 것으로 드러난 가운데, 해성디에스도 SSL-VPN 보안 미흡으로 랜섬웨어 공격을 당한 것으로 나타났다. 전남테크노파크는 부실한 비밀번호로 랜섬웨어에 당했다.
개인정보보호위원회(위원장 고학수)는 개인정보 보호 법규를 위반한 해성디에스와 전남테크노파크에 총 4억 4460만 원의 과징금·과태료를 부과하고 홈페이지 등에 이를 공표하도록 명령했다고 24일 밝혔다.
개인정보위는 안전조치 의무 위반으로 개인정보가 유출된 해성디에스에 과징금 3억 4300만 원을 부과했다. 처분받은 사실을 운영 중인 홈페이지에 공표할 것도 명령했다.
신원 미상의 해커는 반도체 부품 제조 기업 해성디에스가 운영 중인 SSL-VPN 장비의 취약점을 악용해 VPN에 로그인 후 사내망에 접근(2023.10.11.~10.29.)했다. 인증되지 않은 공격자가 웹에 노출된 SSL-VPN 인터페이스를 통해 원격으로 코드를 실행할 수 있는 취약점이 있었다.
공격자는 이후 내부 파일서버에 저장되어 있던 73975명의 개인정보(주주 정보, 임직원 정보, 협력사직원 정보)를 외부로 유출하고 내부 파일서버 등에 랜섬웨어 파일을 배포 및 감염시켰다.
지난 2023년 6월 해성디에스가 사용하던 SSL-VPN 장비의 취약점이 발견돼 보안 업데이트가 필요하다는 사실이 해당 장비 제조사 및 한국인터넷진흥원 등에 의해 공지된 바 있다. 그럼에도 해성디에스는 해킹 사고 당시까지 취약점에 대한 조치를 하지 않은 사실이 확인되었다. 해커가 유출을 진행하던 기간 동안 해성디에스의 일부 시스템은 백신 동작 이력이 존재하지 않는 등, 악성프로그램 방지·치료 기능 운영 소홀 사실도 확인되었다.
SSL-VPN(보안소켓계층 가상사설망)은 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술이다.
개인정보위 관계자는 “해성디에스를 비롯해, SSL-VPN 등 보안장비의 취약점을 악용한 해킹 및 개인정보 유출 사례가 최근 증가하고 있다”며 “VPN 등 보안장비를 이용하는 사업자들은 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다”고 당부했다.
개인정보위는 전남테크노파크에도 과징금 9800만원과 과태료 360만원을 부과하고 공표명령을 내렸다.
2023년 11월 23일경 해커는 전남테크노파크가 운영하는 전남과학기술정보시스템(홈페이지) 내 개인정보처리시스템에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제하고 금전을 요구하는 랜섬노트(협박 메시지)를 남겼다. 공격을 받은 당시 처리시스템에는 약 1,200여 명의 개인정보가 저장되어 있었으며, 성명, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함되어 있었다.
조사 결과 테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 이용자의 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장하고 로그인 시 전송하는 비밀번호는 암호화하지 않은 사실도 확인했다.
처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근 및 개인정보 유출 시도를 탐지·차단 하지 않았고, 처리시스템의 접속 기록을 보관하고 관리하지도 않았다.
아울러 테크노파크는 2024년 11월 23일 해커가 불법 접근해 개인정보를 삭제해 훼손된 사실을 인지했다. 정당한 사유없이 72시간을 경과한 2024년 11월 30일 개인정보 유출 신고했고, 2024년 12월 1일 홈페이지에 유출 사실을 게시했다.
개인정보위는 “최근 제조업 등을 중심으로 랜섬웨어 감염 및 개인정보 유출이 증가하고 있다”며 “개인정보를 처리하는 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트를 실시하고, 개인정보 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] SGI서울보증이 SSL-VPN을 통해 랜섬웨어에 감염된 것으로 드러난 가운데, 해성디에스도 SSL-VPN 보안 미흡으로 랜섬웨어 공격을 당한 것으로 나타났다. 전남테크노파크는 부실한 비밀번호로 랜섬웨어에 당했다.
개인정보보호위원회(위원장 고학수)는 개인정보 보호 법규를 위반한 해성디에스와 전남테크노파크에 총 4억 4460만 원의 과징금·과태료를 부과하고 홈페이지 등에 이를 공표하도록 명령했다고 24일 밝혔다.
개인정보위는 안전조치 의무 위반으로 개인정보가 유출된 해성디에스에 과징금 3억 4300만 원을 부과했다. 처분받은 사실을 운영 중인 홈페이지에 공표할 것도 명령했다.
신원 미상의 해커는 반도체 부품 제조 기업 해성디에스가 운영 중인 SSL-VPN 장비의 취약점을 악용해 VPN에 로그인 후 사내망에 접근(2023.10.11.~10.29.)했다. 인증되지 않은 공격자가 웹에 노출된 SSL-VPN 인터페이스를 통해 원격으로 코드를 실행할 수 있는 취약점이 있었다.
공격자는 이후 내부 파일서버에 저장되어 있던 73975명의 개인정보(주주 정보, 임직원 정보, 협력사직원 정보)를 외부로 유출하고 내부 파일서버 등에 랜섬웨어 파일을 배포 및 감염시켰다.
지난 2023년 6월 해성디에스가 사용하던 SSL-VPN 장비의 취약점이 발견돼 보안 업데이트가 필요하다는 사실이 해당 장비 제조사 및 한국인터넷진흥원 등에 의해 공지된 바 있다. 그럼에도 해성디에스는 해킹 사고 당시까지 취약점에 대한 조치를 하지 않은 사실이 확인되었다. 해커가 유출을 진행하던 기간 동안 해성디에스의 일부 시스템은 백신 동작 이력이 존재하지 않는 등, 악성프로그램 방지·치료 기능 운영 소홀 사실도 확인되었다.
SSL-VPN(보안소켓계층 가상사설망)은 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술이다.
개인정보위 관계자는 “해성디에스를 비롯해, SSL-VPN 등 보안장비의 취약점을 악용한 해킹 및 개인정보 유출 사례가 최근 증가하고 있다”며 “VPN 등 보안장비를 이용하는 사업자들은 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다”고 당부했다.
개인정보위는 전남테크노파크에도 과징금 9800만원과 과태료 360만원을 부과하고 공표명령을 내렸다.
2023년 11월 23일경 해커는 전남테크노파크가 운영하는 전남과학기술정보시스템(홈페이지) 내 개인정보처리시스템에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제하고 금전을 요구하는 랜섬노트(협박 메시지)를 남겼다. 공격을 받은 당시 처리시스템에는 약 1,200여 명의 개인정보가 저장되어 있었으며, 성명, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함되어 있었다.
조사 결과 테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 이용자의 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장하고 로그인 시 전송하는 비밀번호는 암호화하지 않은 사실도 확인했다.
처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근 및 개인정보 유출 시도를 탐지·차단 하지 않았고, 처리시스템의 접속 기록을 보관하고 관리하지도 않았다.
아울러 테크노파크는 2024년 11월 23일 해커가 불법 접근해 개인정보를 삭제해 훼손된 사실을 인지했다. 정당한 사유없이 72시간을 경과한 2024년 11월 30일 개인정보 유출 신고했고, 2024년 12월 1일 홈페이지에 유출 사실을 게시했다.
개인정보위는 “최근 제조업 등을 중심으로 랜섬웨어 감염 및 개인정보 유출이 증가하고 있다”며 “개인정보를 처리하는 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트를 실시하고, 개인정보 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
