'머스트잇' 개인정보 유출 사고
명품 플랫폼 머스트잇에서 개인정보 유출 사고가 발생하였습니다. 잠금장치 없는 서랍을 누구든 열어볼 수 있었던 상황과 비슷했습니다. 머스트잇은 자사 홈페이지를 통해, 외부로부터의 비정상적인 접근이 있었고 이로 인해 개인정보가 유출되었을 가능성이 있다고 밝혔습니다.
문제의 시작: 인증 없는 API
5월 6일부터 14일까지, 그리고 6월 9일. 머스트잇의 특정 API(데이터를 주고받는 통로)에 대해 대량의 비정상적인 접근 시도가 감지되었습니다. 문제는 이 API가 별도의 인증 없이도 개인정보 일부를 들여다볼 수 있게 설계되어 있었다는 점입니다.
쉽게 말해, 누구든 URL만 알면 회원의 이름, 생년월일, 휴대전화번호, 이메일, 주소 등의 민감한 정보를 들여다볼 수 있었던 것입니다. 그것도 로그인 없이 말입니다.
최근 파파존스 피자에서도 유사한 보안 사고가 발생한 바 있습니다. 공격자는 주문 조회를 위한 링크의 주문 번호만 임의로 바꾸는 방식으로 다른 고객의 주문 내역을 확인할 수 있었습니다.
즉, 주문자의 전화번호가 포함된 URL 하나만 알면, 인증 절차 없이 다른 고객의 이름, 전화번호, 주소, 주문 내역 등을 쉽게 확인할 수 있었던 것입니다. 마치 택배 송장 번호만 바꾸면 다른 사람의 집 주소가 보이는 상황과 다름없었습니다.
링크 하나로부터 시작되는 위험
웹에서 제공되는 모든 경로와 데이터는 공격자가 악용할 수 있는 창구가 될 수 있습니다. 특히 요즘은 문자 메시지, 메신저, 이메일 등을 통해 링크가 쉽게 공유되며, 이를 클릭하는 순간 자신의 정보를 공격자에게 넘겨줄 수 있는 위험에 노출됩니다. 아래 메시지는 예시 문자 메시지입니다.
[머스트잇 고객님] 배송 정보 확인이 필요합니다.
▶ https://mustit-check.com/confirm?orderid=KSH1234
겉으로 보기에는 정말 머스트잇에서 보낸 것처럼 보입니다. 하지만 이 링크를 클릭하면 실제 머스트잇과 똑같이 만든 가짜 로그인 페이지로 이동하며, 여기에 아이디와 비밀번호를 입력하는 순간 공격자의 손에 정보가 넘어가게 됩니다. 이는 대표적인 피싱(Phishing) 공격 수법입니다.
이러한 링크는 종종 도메인이 살짝 다르거나, 짧은 주소(short URL) 형태로 위장되어 진짜처럼 보이기 때문에 일반 사용자가 구별하기 어렵습니다.
블랙쏘세지로 링크를 안전하게 확인하세요
블랙쏘세지는 링크를 클릭할 때 직접 해당 웹사이트에 접근하지 않도록, 원격 브라우저에서 대신 열어주는 보안 서비스입니다.
즉, 링크를 클릭하더라도 내 스마트폰에서는 실제 사이트에 접속하지 않습니다. 대신, 격리된 안전한 환경에서 사이트를 열고, 그 결과만 보여주는 방식입니다.
링크 뒤에 숨어 있는 위험한 요청이나 정보 탈취 시도도 내 기기에 닿지 못합니다. 링크가 불안할 땐 블랙쏘세지, 기억해두세요.
