이슈

역대급 개인정보 유출 사고…인터파크 1,030만 명 개인정보 유출

안녕하세요. 캐치시큐입니다.
2016년에 발생한 인터파크 개인정보 유출 사고 기억하시나요?
해당 사고로 인해 방송통신위원회로부터 총 45억 원에 가까운 과징금·과태료 처분을 받았습니다.
이는 당시 개인정보 유출 사고로 부과된 역대 최고액입니다.
해당 유출 사고로 인해 정보통신망법, 개인정보보호법 등이 개정되는 계기가 되기도 한 사건입니다.
이번 글에서는 인터파크 개인정보 유출 사고에 대해 자세히 알아보겠습니다.

인터파크 개인정보 왜 유출되었나요?

직원이 받은 메일로 인해 개인정보가 유출되었는데요.
해당 직원의 동생 이메일 주소로 발송된 메일에 가족사진 파일로 위장한 악성코드가 있었습니다.
직원은 해당 파일을 클릭하였고, 해커는 해당 직원의 업무용 PC를 시작으로 파일공유 서버를 거쳐 DB서버 관리 직원의 PC까지 악성코드에 감염시켰습니다.
악성코드에 감염시켜 DB서버의 회원정보를 빼돌린 것입니다.

개인정보 유출된 이후에도 논란?

인터파크의 회원정보가 유출된 것은 2016년 3월 ~ 5월 사이였습니다.
유출된 이후 2016년 7월 해커가 인터파크 대표에게 협박 메일을 보냈는데요.
34차례에 걸쳐 개인정보 유출 사실을 외부에 공개하겠다며 30억 원 상당의 비트코인을 송금하라는 내용이었습니다.
이후 이 사실을 인터파크가 경찰에 신고하면서 알려지게 되었습니다.

그리고 인터파크 측은 회원들에게 해당 사실을 협박 메일을 받고 2주 후에 알려 늑장 대응이 다시 한번 논란이 되었습니다.

누가 해킹한 것인지 밝혀졌나요?

경찰과 정부합동조사팀의 수사 결과에 따르면 북한 소행으로 밝혀졌습니다.
해킹에 쓰인 경유지 3개국의 IP 4개가 북한 체신성 해킹 세력이 사용하던 IP와 일치하였습니다.
이 외에도 해커들이 사용한 국내 포털사이트의 이메일 주소도 동일한 것으로 확인되었으며, 협박 메일에 쓰인 말도 북한에서 사용하는 표현이라고 밝혀졌습니다.
인터파크 해킹은 북한의 외화벌이를 위해 해킹 기술을 이용한다는 사실이 확인된 최초의 사례로 알려졌습니다.

당시 최고액의 과징금 처분을 받았던데요?

1,030만 명의 개인정보 2,540만 건이 유출되었는데요.
유출된 정보는 아이디, 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목이었습니다.

유출 사고에 대해 방송통신위원회는 유출·관리하는 개인정보량이 방대하고 접근 통제 등 기술적·관리적 보호조치를 소홀히 하는 등 과실이 크다는 이유로
44억 8,000만 원의 과징금2,500만 원의 과태료를 부과했습니다.

인터파크는 처분에 대해 행정소송을 제기했지만 1심과 2심에서 모두 패소하고 대법원에서 확정된 판결입니다.

손해배상도 했나요?

서비스 이용자들이 인터파크를 상대로 손해배상청구 소송을 제기했습니다.
1심에서 원고 1인 당 10만 원의 위자료 판결을 내렸지만, 인터파크는 항소하였습니다.
하지만 2심에서 동일한 판결이 이루어져 1인 당 위자료 10만 원으로 총 2억 4,000만 원 규모의 손해배상을 져야 했습니다.

네이트·싸이월드 해킹 사건은 손해배상 책임이 없다던데요?

해당 해킹 사건의 피해자들도 SK커뮤니케이션즈를 상대로 손해배상을 청구했지만 패소했습니다.
SK커뮤니케이션즈는 이용자의 비밀번호를 일방향으로 암호화하고, 주민등록번호도 별도로 암호화하여 저장 및 관리하는 등의 조치를 취했는데요.
재판부는 이 점을 근거로 “개인정보 보호조치 의무를 위반했다”고 판단하기 어렵다고 했습니다.

인터파크의 경우 접근 통제 등의 안전조치가 미흡했고, SK커뮤니케이션즈는 암호화 등의 안전조치를 취했다는 점에서 차이를 보였습니다.

두 사례를 통해 안전조치가 얼마나 중요한지 알 수 있습니다.
접근 통제, 접근 권한 설정, 2단계 보안 인증 등 다양한 보안 조치는 해킹을 예방하기 위해 필수적입니다.

캐치시큐는 해킹 예방을 위해 접속지 IP 제한 기능, 2단계 보안 인증 기능을 제공합니다.
그리고 내부에서 유출 예방을 위해 접근 권한 설정 기능도 제공하며, 수집된 개인정보는 AES-256 암호화 알고리즘을 통해 안전하게 보관됩니다.
마지막으로 보유·이용 기간이 만료된 개인정보는 자동으로 파기합니다.

안전조치 의무, 캐치시큐와 함께하세요!


같이 보면 좋은 글


개인정보보호 혁신인재 밋업데이

한국인터넷진흥원과 개인정보보호위원회에서 ‘개인정보보호 혁신인재 밋업데이’를 주최합니다!

일시 : 2024.09.30(월) 13:00 ~ 17:00
장소 : 서울 코엑스 컨퍼런스룸 401호(4층)
참석 대상 : 개인정보 특성화 대학 관계자, 참여 학생, 개인정보 기업 관계자

참여 학생들의 개인정보 정책혁신 아이디어를 들어볼 수 있는 시간과 다양한 개인정보 기업의 관계자들과 네트워킹할 수 있는 시간 등
유익한 프로그램들이 많이 준비되어 있습니다!

참석자에게는 다양한 혜택도 준비되어 있으니 꼭 참석해 보세요!

아래 링크를 통해 신청해 주세요.
https://lnkd.in/dECUMUv4


# 이슈

관련 최신글

안녕하세요. 캐치시큐입니다.
2016년에 발생한 인터파크 개인정보 유출 사고 기억하시나요?
해당 사고로 인해 방송통신위원회로부터 총 45억 원에 가까운 과징금·과태료 처분을 받았습니다.
이는 당시 개인정보 유출 사고로 부과된 역대 최고액입니다.
해당 유출 사고로 인해 정보통신망법, 개인정보보호법 등이 개정되는 계기가 되기도 한 사건입니다.
이번 글에서는 인터파크 개인정보 유출 사고에 대해 자세히 알아보겠습니다.

인터파크 개인정보 왜 유출되었나요?

직원이 받은 메일로 인해 개인정보가 유출되었는데요.
해당 직원의 동생 이메일 주소로 발송된 메일에 가족사진 파일로 위장한 악성코드가 있었습니다.
직원은 해당 파일을 클릭하였고, 해커는 해당 직원의 업무용 PC를 시작으로 파일공유 서버를 거쳐 DB서버 관리 직원의 PC까지 악성코드에 감염시켰습니다.
악성코드에 감염시켜 DB서버의 회원정보를 빼돌린 것입니다.

개인정보 유출된 이후에도 논란?

인터파크의 회원정보가 유출된 것은 2016년 3월 ~ 5월 사이였습니다.
유출된 이후 2016년 7월 해커가 인터파크 대표에게 협박 메일을 보냈는데요.
34차례에 걸쳐 개인정보 유출 사실을 외부에 공개하겠다며 30억 원 상당의 비트코인을 송금하라는 내용이었습니다.
이후 이 사실을 인터파크가 경찰에 신고하면서 알려지게 되었습니다.

그리고 인터파크 측은 회원들에게 해당 사실을 협박 메일을 받고 2주 후에 알려 늑장 대응이 다시 한번 논란이 되었습니다.

누가 해킹한 것인지 밝혀졌나요?

경찰과 정부합동조사팀의 수사 결과에 따르면 북한 소행으로 밝혀졌습니다.
해킹에 쓰인 경유지 3개국의 IP 4개가 북한 체신성 해킹 세력이 사용하던 IP와 일치하였습니다.
이 외에도 해커들이 사용한 국내 포털사이트의 이메일 주소도 동일한 것으로 확인되었으며, 협박 메일에 쓰인 말도 북한에서 사용하는 표현이라고 밝혀졌습니다.
인터파크 해킹은 북한의 외화벌이를 위해 해킹 기술을 이용한다는 사실이 확인된 최초의 사례로 알려졌습니다.

당시 최고액의 과징금 처분을 받았던데요?

1,030만 명의 개인정보 2,540만 건이 유출되었는데요.
유출된 정보는 아이디, 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목이었습니다.

유출 사고에 대해 방송통신위원회는 유출·관리하는 개인정보량이 방대하고 접근 통제 등 기술적·관리적 보호조치를 소홀히 하는 등 과실이 크다는 이유로
44억 8,000만 원의 과징금2,500만 원의 과태료를 부과했습니다.

인터파크는 처분에 대해 행정소송을 제기했지만 1심과 2심에서 모두 패소하고 대법원에서 확정된 판결입니다.

손해배상도 했나요?

서비스 이용자들이 인터파크를 상대로 손해배상청구 소송을 제기했습니다.
1심에서 원고 1인 당 10만 원의 위자료 판결을 내렸지만, 인터파크는 항소하였습니다.
하지만 2심에서 동일한 판결이 이루어져 1인 당 위자료 10만 원으로 총 2억 4,000만 원 규모의 손해배상을 져야 했습니다.

네이트·싸이월드 해킹 사건은 손해배상 책임이 없다던데요?

해당 해킹 사건의 피해자들도 SK커뮤니케이션즈를 상대로 손해배상을 청구했지만 패소했습니다.
SK커뮤니케이션즈는 이용자의 비밀번호를 일방향으로 암호화하고, 주민등록번호도 별도로 암호화하여 저장 및 관리하는 등의 조치를 취했는데요.
재판부는 이 점을 근거로 “개인정보 보호조치 의무를 위반했다”고 판단하기 어렵다고 했습니다.

인터파크의 경우 접근 통제 등의 안전조치가 미흡했고, SK커뮤니케이션즈는 암호화 등의 안전조치를 취했다는 점에서 차이를 보였습니다.

두 사례를 통해 안전조치가 얼마나 중요한지 알 수 있습니다.
접근 통제, 접근 권한 설정, 2단계 보안 인증 등 다양한 보안 조치는 해킹을 예방하기 위해 필수적입니다.

캐치시큐는 해킹 예방을 위해 접속지 IP 제한 기능, 2단계 보안 인증 기능을 제공합니다.
그리고 내부에서 유출 예방을 위해 접근 권한 설정 기능도 제공하며, 수집된 개인정보는 AES-256 암호화 알고리즘을 통해 안전하게 보관됩니다.
마지막으로 보유·이용 기간이 만료된 개인정보는 자동으로 파기합니다.

안전조치 의무, 캐치시큐와 함께하세요!


같이 보면 좋은 글


개인정보보호 혁신인재 밋업데이

한국인터넷진흥원과 개인정보보호위원회에서 ‘개인정보보호 혁신인재 밋업데이’를 주최합니다!

일시 : 2024.09.30(월) 13:00 ~ 17:00
장소 : 서울 코엑스 컨퍼런스룸 401호(4층)
참석 대상 : 개인정보 특성화 대학 관계자, 참여 학생, 개인정보 기업 관계자

참여 학생들의 개인정보 정책혁신 아이디어를 들어볼 수 있는 시간과 다양한 개인정보 기업의 관계자들과 네트워킹할 수 있는 시간 등
유익한 프로그램들이 많이 준비되어 있습니다!

참석자에게는 다양한 혜택도 준비되어 있으니 꼭 참석해 보세요!

아래 링크를 통해 신청해 주세요.
https://lnkd.in/dECUMUv4


# 이슈
관련 최신글
인기글
역대급 개인정보 유출 사건…카드 3사 개인정보 유출 사고 총정리

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.