인터파크에서 또다시 개인정보 유출 정황이 포착됐습니다. 2016년, 2023년에 이어 벌써 세 번째입니다. 이번에도 마찬가지입니다. 아직 정확히 유출된 정보가 무엇인지, 실제로 유출이 발생했는지는 확인되지 않았습니다. 그러나, 정황만으로도 많은 사용자들이 불안해하고 있습니다.
“예매내역 확인 기능서 이상 접속”… 그게 왜 중요한가요?
이번에 비정상적인 접근 시도가 발생한 기능은 바로 ‘예매내역 확인’입니다. 겉보기에는 단순한 기능 같지만, 실제로는 매우 많은 개인정보가 이 안에 담겨 있습니다.
인터파크의 개인정보 처리 방침에 따르면, 글로벌 예매에는 다음과 같은 정보가 포함될 수 있습니다.
- 이름, 생년월일, 성별, 휴대전화번호, 이메일
- 여권번호, 여권 만료일, 국적
- 건강정보(알레르기), 수령인 정보 등
이러한 정보는 단순히 한 사람을 식별하는 수준을 넘어, 그 사람의 정체성과 건강 상태, 국적까지 파악할 수 있는 매우 민감한 정보입니다.
아직 정황이지만, 너무 익숙해진 '경고음'
놀유니버스(운영사)는 정황을 포착한 후 긴급 대응에 들어갔고, 개인정보보호위원회와 KISA에도 신고했다고 밝혔습니다. 그러나 사용자에게는 ‘정기 점검’이라는 표현만으로 내용을 안내했으며, 사고와의 연관성에 대해서는 언급이 없었습니다.
우리는 이런 흐름이 낯설지 않습니다.
2016년 북한 해커로 추정되는 사이버 공격,
2023년 무차별 대입 공격(크리덴셜 스터핑)을 통한 대규모 유출,
그리고 지금.
매번 정황이 먼저 포착되고, 그 뒤에야 진실이 드러났습니다.
반복되는 구조적 문제…
최근 서브웨이와 파파존스 피자에서 발생한 보안 문제 역시 인터파크와 비슷한 구조를 가지고 있습니다.
공통점은 다음과 같습니다.
- 주문번호나 ID만 있으면 로그인 없이 예매/주문 정보를 열람할 수 있음
- 인증 절차 없이 민감한 개인 정보에 접근 가능
- 이러한 구조를 악용해 다른 사람의 정보를 대량 조회할 수 있는 점
인터파크의 예매내역 확인 기능도 동일한 위험성을 내포하고 있었을 가능성이 있습니다. 만약 공격자가 예매번호나 관련 ID만 알고 있다면, 그 사람의 전체 예매 이력과 개인 정보에 접근할 수 있었을지도 모릅니다.
유출된다면 어떤 일이 벌어질까요?
예를 들어, A 씨가 인터파크 글로벌 사이트에서 해외 뮤지컬 티켓을 예매했다고 가정해 봅시다.
이때 저장된 정보는 다음과 같습니다.
- A 씨의 이름, 생년월일, 이메일
- 여권번호 및 만료일
- 알레르기 등 건강 정보
이 정보가 유출되면 다음과 같은 2차 피해가 가능합니다:
- A 씨 명의로 해외 사이트에 사칭 가입
- 여권 정보 기반의 스미싱 (여행지 사칭 메시지 전송 등)
- 이메일 기반의 피싱 공격
- A 씨 이름으로 된 택배 발송 및 사기
이메일·휴대폰·여권정보는 누군가를 사칭하기에 충분한 도구입니다.
블랙쏘세지로 안전하게 링크를 보세요
이메일이나 문자로 도착한 링크가 늘 불안하진 않으셨나요?
클릭하면 안 될 것 같은데… 그래도 확인은 해봐야 할 것 같고
블랙쏘세지는 사용자가 클릭한 링크를 원격 브라우저에서 대신 열어주는 서비스입니다. 스마트폰에서 직접 웹사이트에 접속하지 않기 때문에, 악성코드나 개인정보 탈취 위험 없이 내용을 안전하게 확인할 수 있습니다.
'보안 > 사건 사고' 카테고리의 다른 글
| 청주시장님도 당하셨습니다. '링크 한 번'의 위험성 (0) | 2025.07.03 |
|---|---|
| ‘써브웨이’ 주문 정보 유출 사건 - 주소만 바꿔도 다른 사람의 정보가 보인다고요? (0) | 2025.07.01 |
| '머스트잇' 개인정보 유출 사고 (0) | 2025.06.30 |
| 주문번호만 알면 다른 사람의 정보까지? '파파존스' 주문 정보 유출 사건 (0) | 2025.06.26 |
| 31억 원의 손실: 독일 파사나의 랜섬웨어 참사 (0) | 2025.06.25 |
