지난 5월, 한국음악콘텐츠협회가 해킹 공격을 받아 회원 개인정보가 대규모로 유출되는 사건이 발생했습니다. 하지만 이 사실은 약 두 달 뒤에야 외부에 알려졌습니다.
더 큰 문제는 비밀번호와 주민등록번호 같은 민감한 정보가 암호화되지 않은 상태, 즉 마치 현금과 귀중품을 금고가 아닌 책상 서랍에 넣어둔 것처럼 저장되어 있었다는 점입니다.
해킹 수법 — "고전 중의 고전"
이번 공격에 사용된 기법은 ‘SQL 인젝션’입니다. 이는 로그인 창이나 검색창 같은 입력란에 몰래 명령어를 끼워 넣어 데이터베이스에 직접 접근하는 방식입니다. 마치 은행 창구에서 정상 서류 사이에 금고 열쇠를 슬쩍 넣어 제출하는 것과 같습니다.
이 방법은 2000년대 초반부터 널리 알려져 있으며, 기본적인 보안 설정으로도 충분히 막을 수 있는 공격입니다. 그러나 협회는 이를 차단하지 못했습니다.
암호화 없이 저장된 개인정보
협회는 비밀번호와 주민등록번호를 평문으로 저장했습니다. 이는 해킹이 발생하지 않았더라도 심각한 보안 위험을 안고 있는 구조였습니다. 비밀번호가 그대로 노출되면, 같은 비밀번호를 사용하는 다른 사이트 계정까지 도용당할 수 있습니다.
늦어진 공개와 골든타임 상실
협회는 5월 21일 유출 사실을 인지했지만, 회원들에게 이를 알린 것은 7월 4일이었습니다. 유출 항목 전체에 대한 개별 통지는 8월 5일에야 이뤄졌습니다.
그 사이 약 2개월 동안 피해자들은 자신의 정보가 유출된 사실조차 모른 채, 각종 2차 피해 위험에 노출되어 있었습니다. 현행 개인정보보호법은 유출 발생 후 72시간 이내에 신고와 고지를 의무화하고 있어, 대응 지연에 대한 법적 책임 문제도 제기될 수 있습니다.
2차 피해 가능성
유출된 개인정보는 피싱, 금융 사기, 계정 도용 등 다양한 2차 피해로 이어질 수 있습니다. 예를 들어, 협회 운영 서비스인 ‘써클차트’ 명의를 사칭한 문자 메시지가 발송될 수 있습니다.
[써클차트] 김○○ 회원님, 2025년 상반기 이용료 결제가 미처리되어 서비스가 일시 중단되었습니다.
▶ 결제 바로가기 : bit.ly/xxxxxx
받는 사람 입장에서는 실제 이름과 사용 서비스명이 나오니 의심 없이 클릭할 가능성이 높습니다. 이러한 메시지를 클릭하면 가짜 로그인 페이지로 유도되어 비밀번호를 재차 탈취하거나, 결제 페이지를 위장해 금융 정보를 빼낼 수 있습니다.
우리가 할 수 있는 대응책
- 비밀번호 즉시 변경
- 해당 서비스뿐 아니라 동일한 비밀번호를 쓰는 다른 사이트도 변경
- 12자 이상, 대·소문자·숫자·특수문자 조합
- 의심 링크 클릭 주의
- 발신자 주소 확인, 짧은 URL은 가급적 열지 않기
- 피해 신고
- 경찰청 사이버범죄 신고 또는 118(KISA) 연락
안전한 링크 열람을 위한 블랙쏘세지
개인정보가 유출되면, 공격자는 이를 활용해 맞춤형 피싱 메시지를 보낼 수 있습니다. 특히 문자나 메신저 링크를 클릭하는 순간, 추가 피해가 시작될 수 있습니다.
블랙쏘세지는 원격 브라우저 격리 기술을 통해, 스마트폰에서 받은 링크를 내 기기가 아닌 안전한 원격 환경에서 열람하도록 합니다. 이를 통해 악성 사이트나 해킹 시도는 원격 환경에서 차단되고, 사용자의 기기와 개인정보는 안전하게 보호됩니다.
이제 어떤 링크든, 안심하고 확인하세요.
'보안 > 사건 사고' 카테고리의 다른 글
| 판도라 'Pandora' 고객 정보 유출… 세일즈포스를 노린 교묘한 피싱 공격 (5) | 2025.08.07 |
|---|---|
| 미국 알리안츠(Allianz)생명, 140만 명 고객 정보 유출 사건 (2) | 2025.07.28 |
| 셰어포인트 취약점, 그 너머를 노리는 보안 위협 (0) | 2025.07.24 |
| '대성학력개발연구소' 개인정보 유출 사건 (2) | 2025.07.22 |
| ‘서구 아라동’ 선거 사무원 1,066명의 개인정보 유출… (2) | 2025.07.18 |
