GS리테일, 크리덴셜 스터핑 공격 받아 고객 9만명 개인정보 유출

2025-01-06 19:00
  • 카카오톡
  • 네이버 블로그
  • url
3줄 요약
1. 12월 27일~1월 4일 사이 발생...이름, 성별, 생년월일, 연락처 등 7개 항목 유출 추정
2. 제로트러스트 보안 체계 도입 중요...피해 최소화와 빠른 복원력 방안에 대해 고민해야
3. 보안전문가, 크리덴셜 스터핑 대응 방법으로 ‘멀티팩터 인증’ 도입 제시


[보안뉴스 김영명 기자] GS 그룹 산하 유통 계열사인 GS리테일이 크리덴셜 스터핑(Credential Stuffing) 공격을 받아 개인정보 유출 사고가 발생했다.


▲GS리테일이 크리덴셜 스터핑 공격을 받아 고객 9만명의 개인정보가 유출됐다고 밝혔다[이미지=보안뉴스]

GS 리테일은 “이번 해킹 공격 방식은 ‘크리덴셜 스터핑’”이라며 “여러 경로를 통해 수집한 계정정보와 비밀번호를 특정 사이트에 접속해 무작위로 대입, 로그인 후 개인정보를 훔치는 수법”이라고 밝혔다.

이번 사고로 인해 유출된 것으로 추정되는 고객의 개인정보는 △이름 △성별 △생년월일 △연락처 △주소 △아이디 △이메일 등 7개 항목이라고 안내했다.

GS리테일은 해킹 사실을 인지한 즉시 공격을 시도하는 IP와 공격 패턴을 차단, 고객의 계정에 더 이상 로그인할 수 없도록 잠금처리했다고 밝혔다. 또한 개인정보가 표시된 페이지를 확인할 수 없도록 임시로 폐쇄했다고 덧붙였다.

이어 2차 피해 방지를 위해 GS리테일은 비밀번호 변경을 당부하며, 개인정보 악용이 의심될 경우 GS25 고객센터 등 담당 부서로 연락할 것을 공지했다.

이번 사고에 대해 GS의 내부 사정을 잘 아는 한 보안전문가는 “GS리테일은 자체적으로 보안을 잘 하고 있는 것으로 안다”면서도 “지난해 GS리테일과 GS홈쇼핑이 합병하면서 시스템 통합과 함께 고도화 작업이 한꺼번에 몰리며 보안이 소홀해진 것 같다”고 말했다.

이어 “크리덴셜 스터핑 공격에 대응하는 가장 기본적인 방법은 꾸준하고 빈틈없는 보안대응 마련”이라며 “최근 해커들은 블랙마켓을 통해 인증정보를 대량으로 구매하기 때문에 로그인이 뜸하던 아이디로 갑자기 로그인을 하는 등 이상행위에 대해 모니터링하는 것이 중요하다”고 덧붙였다.

해당 보안전문가는 “이 같은 사고에 대응하는 방법은 제로트러스트 보안 등에 기반한 복합적인 대응체계를 마련하는 것”이라며 “대응체계가 제대로 갖춰진다면 다양한 보안사고에 상당한 피해를 줄이고 높은 회복력을 가질 수 있을 것”이라고 강조했다. 마지막으로 “해킹을 100% 막을 수 없는 만큼 이제는 리스크를 최소화하고, 빠른 복원력에 대해 고민해야 한다”며 “해당 위협으로 부터 피해를 최소화하는 방안에 대해 다각적인 시선으로 바라보는 게 중요하다”고 덧붙였다.

또 다른 한 보안전문가는 “크리덴셜 스터핑 공격 대응책은 MFA(멀티팩터 인증)를 도입하는 것”이라며 “로그인을 시도한 계정 및 패스워드 입력자가 실제 가입자인지 확인하는 것이 바람직하다”고 말했다. 이어 “가장 대표적인 멀티팩터 인증 방법은 1차 비밀번호 입력 이외에 휴대폰 인증 방법”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • KCL

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 아이원코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 아이리스아이디

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 트루엔

    • 인터엠

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 프로브디지털

    • 투윈스컴

    • 스피어AX

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 세연테크

    • 디비시스

    • 주식회사 에스카

    • 구네보코리아주식회사

    • 위트콘

    • 넥스트림

    • 포엠아이텍

    • 동양유니텍

    • 엔피코어

    • 휴네시온

    • 한싹

    • 앤앤에스피

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에이티앤넷

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 모스타

    • 두레옵트로닉스

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 엔에스티정보통신

    • 레이어스

    • 보문테크닉스

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기