[머스트잇] 인증 누락된 API로 인한 고객 개인정보 유출_2025년 6월

시스템 설계 오류로 별도 인증 없이 개인정보에 접근 가능…회원번호, 이름, 생년월일 등 9개 항목 노출

□  개요  

     2025년 6월 23일(월), 온라인 명품 플랫폼 머스트잇은 한국인터넷진흥원(KISA)로부터 개인정보 침해 정황을 통보받고, 자체 점검을 통해 API 인증 미비로 인한 개인정보 유출 가능성을 공식 확인했다.
조사 결과 2025년 5월 6일부터 5월 14일, 그리고 6월 9일 두 차례에 걸쳐 인증 절차 없이 개인정보를 조회할 수 있는 API에 대한 비정상 접근 시도가 확인되었다.
    해당 API는 별도 로그인이나 인증 없이 개인정보 일부를 조회할 수 있었던 구조로, 사고 인지 직후 머스트잇은 해당 API를 폐기하고 전면적인 보안 조치를 완료했다. 이번 유출로 회원번호, 이름, 생년월일, 주소, 이메일 등 최대 9개 항목이 노출되었을 가능성이 있으며, 탈퇴 회원 정보는 포함되지 않았다.
    현재 머스트잇은 고객 대상 개별 안내를 완료했으며, 개인정보보호위원회 및 KISA에 사고를 신고하고 정식 조사를 받고 있는 상태다.

 

□  사고내용 요약  

    1. 회사명 : 머스트잇
    2. 사고유형 : 인증 없는 API 취약점을 이용한 비정상 접근에 따른 개인정보 유출

    3. 개인정보 유출범위 : 2025년 5월 6일 ~ 5월 14일, 6월 9일 기간 중 시스템 접속 사용자
    4. 개인정보 유출항목 : △회원번호 △아이디 △가입일 △이름 △생년월일 △성별 △휴대전화번호 △이메일 △주소
      ※ 탈퇴 회원 정보는 포함되지 않음

□  해킹대응 타임라인  

    -  2025년 6월 23일 : 한국인터넷진흥원(KISA)로부터 개인정보 침해 정황 통보
    -  2025년 6월 23일 : 머스트잇, 해당 API 취약점 즉시 차단 및 보안 조치 완료
    -  2025년 6월 24일~26일 : 관계기관(개인정보보호위원회, KISA)에 정식 신고 및 조사 착수
    -  2025년 6월 26일 : 고객 대상 공지사항 및 개별 유출 가능성 안내

 

□  개인정보 유출  사과공지  

 

□  대응내역  

    -  문제가 된 인증 미비 API 즉시 폐기, 전체 API에 인증 절차 도입
    -  신원 확인 기반의 접근 구조로 전면 교체 및 API 재설계
    -  보안 점검 확대 및 유사 취약점 일괄 제거
    -  웹방화벽(WAF), 침입방지시스템(IPS) 등 외부 위협 탐지 시스템 상시 운영
    -  비정상 접근 탐지 로그 감시 체계 강화
    -  고객 대상 개별 유출 확인 시스템 제공 및 피해 예방 안내

 

□  관련기사(출처)  

• 머스트잇, 회원 이름·전화번호 등 9개 개인정보 유출…“시스템 설계 오류 때문” - 매일경제
• 올·티파니 이어 '머스트잇'도 개인정보 유출 - 세이트타임즈
• 명품 팔던 머스트잇, 고객정보는 헐값 취급? 이름·휴대전화·이메일 등 노출 가능성 - 한국면세뉴스
• 또 터졌다···이번엔 파파존스·머스트잇서 고객정보 유출 - 경향신문

 

감사합니다.