 |
머스트잇은 지난 25일 공식 홈페이지에 “정보가 유출됐을 가능성이 있어 알려 드린다”는 공지를 올렸다. 회사는 지난 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보받았다고 설명했다.
자체 점검 결과, 2차례 비정상 접근 시도가 있었던 것으로 확인됐다. 1차는 지난 5월6일부터 5월14일까지로 특정 API에 대한 대량의 비정상 접근 시도 발생, 2차는 지난 9일 동일한 API 경로를 통한 2차 시도로 파악된다.
머스트잇은 “개인정보 보호를 최우선 가치로 삼고, 철저한 보안 체계를 통해 보호 조치를 운영해왔다”라며 “그럼에도 불구하고 시스템 상의 설계 오류로 인해 개인정보 유출 사고가 발생했다”고 설명했다. 이어 “사고를 인지한 즉시 관련 기관에 신고했으며, 바로 취약점을 차단하고 전면적인 보안 조치를 완료했다”라고 강조했다. 이들은 행당 API가 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였다고 설명했다.
 |
유출 가능성이 있는 개인정보 항목으로는 최대 9개 항목이 예상된다. 회원번호, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 등이다. 정보 유출 여부는 홈페이지에 접속해 로그인 후 확인할 수 있다.
머스트잇은 “전체 시스템에 대한 보안 점검을 완료했다”라며 “유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중”이라고 알렸다. 이어 “이번 사고를 무겁게 받아들이고 있으며, 개인정보를 더욱 철저히 보호하기 위한 기술적‧관리적 보안 강화 조치를 지속적으로 강화해나가겠다”라고 강조했다.
회사의 보안 강화 및 후속 조치로는 인증되지 않은 특정 경로에 대한 API 요청 제한, 비정상적 접근에 대한 로그 감시 체계 강화 등이다. 문제가 된 기존 API는 폐기했으며, 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다고 알렸다.
한편 최근 주요 명품 브랜드에서도 개인정보 유출이 이어지고 있다. 지난 3일에는 디올, 티파니에 이어 명품 브랜드 ‘까르띠에’에서도 고객 정보가 유출됐다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.