알려줘닷컴

시스템 설계 오류로 별도 인증 없이 개인정보에 접근 가능…회원번호, 이름, 생년월일 등 9개 항목 노출 □ 개요 2025년 6월 23일(월), 온라인 명품 플랫폼 머스트잇은 한국인터넷진흥원(KISA)로부터 개인정보 침해 정황을 통보받고, 자체 점검을 통해 API 인증 미비로 인한 개인정보 유출 가능성을 공식 확인했다. 조사 결과 2025년 5월 6일부터 5월 14일, 그리고 6월 9일 두 차례에 걸쳐 인증 절차 없이 개인정보를 조회할 수 있는 API에 대한 비정상 접근 시도가 확인되었다. 해당 API는 별도 로그인이나 인증 없이 개인정보 일부를 조회할 수 있었던 구조로, 사고 인지 직후 머스트잇은 해당 API를 폐기하고 전면적인 보안 조치를 완료했다. 이번 유출로 회원번호, 이름, 생..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 29. 10:15

홈페이지 주문조회 시스템의 보안 취약점으로 고객 개인정보 노출 가능성 제기…주문번호만 바꿔도 타인 정보 확인 가능 □ 개요 2025년 6월 25일, 피자 프랜차이즈 한국파파존스에서 고객 개인정보가 온라인상에 노출됐을 가능성이 확인되면서 논란이 되고 있다. 이는 홈페이지 주문조회 페이지의 보안 취약점으로 인해 주문번호(URL) 끝자리 숫자를 임의로 변경하는 것만으로 타인의 주문 정보에 접근할 수 있었던 구조 때문으로 밝혀졌다. 해당 취약점은 2017년부터 존재했던 것으로 파악되며, 최대 3,732만 건의 주문 정보가 노출되었을 가능성이 제기되었다. 노출된 정보에는 이름, 전화번호, 주소, 생년월일, 이메일, 카드번호 및 유효기간, 공동현관 비밀번호 등 민감한 개인정보가 포함된 것으로 알..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 29. 09:35

새벽 예배 유튜브 생중계 중 북한 인공기 영상 송출…외부 해킹 가능성 집중 조사 중 □ 개요 2025년 6월 18일(수) 새벽, 서울 용산구 서빙고 온누리교회에서 진행된 새벽 예배 유튜브 스트리밍 중 북한 인공기와 북한 국가로 추정되는 영상이 약 20초간 송출되는 해킹 사고가 발생했다. 해당 영상은 예배 영상 도중 갑자기 삽입되어 설교 음성도 함께 중단되었으며, 송출 장면은 SNS와 온라인 커뮤니티 등을 통해 빠르게 확산되었다. 온누리교회 측은 해당 사고를 외부 해킹에 의한 것으로 추정하고 있으며, 유튜브 관리자 계정 침해, 스트리밍 키 유출 가능성 등에 대한 긴급 조사를 진행 중이다. 사고 직후 교회는 모든 관리자 계정의 비밀번호를 변경하고 2단계 인증을 재설정했으며, 스트리밍 키 ..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 19. 22:07

안양 새마을금고 이사장이 고객 개인정보를 외부 업체에 고의 유출 … 1,000건 미만 유출, 피해자에 대한 통지 없이 삭제 조치만 시행 □ 개요 2024년 10월, 경기도 안양시에 위치한 새마을금고 본점에서 당시 재직 중이던 이사장이 회원 개인정보를 외부 업체에 고의로 유출한 사고가 발생하였다. 해당 이사장은 금고나 회원들과 무관한 외부 업체에 온라인을 통해 개인정보를 무단 전송한 것으로 확인되었으며, 유출된 정보는 약 1,000건 미만으로, 주민등록번호 등 민감 정보는 포함되지 않은 것으로 알려졌다. 새마을금고 측은 유출 사실 인지 즉시, 개인정보를 받은 업체에 방문해 삭제 조치를 진행하였으나, 피해자에게는 유출 사실을 통지하지 않아 개인정보보호법 위반 논란이 제기되었다. 해당 이..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 14. 12:36

논문심사시스템(JAMS) 비밀번호 초기화 기능을 악용한 공격 발생…이름·연락처·이메일 등 약 12만 명 개인정보 유출 □ 개요 2025년 6월 6일(금) 새벽, 한국연구재단이 운영하는 논문 투고·심사 시스템(JAMS)에서 비밀번호 초기화 URL의 파라미터 변조를 통한 해킹 시도가 발생했다. 해당 공격은 중국 IP로부터 미국을 경유한 것으로 추정되며, 시스템의 비밀번호 재설정 기능을 악용해 약 16만 건의 시도가 발생, 이 중 약 6만 건에 대해 임시비밀번호 발급 안내 메일이 발송되었다. 초기에는 실제 비밀번호 변경이 발생하지 않아 개인정보 유출은 없는 것으로 판단되었으나, 이후 외부 보안 전문기관 분석 결과 추가적인 접근을 통해 약 12만 명의 개인정보가 유출된 사실이 확인되었다. 한..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 14. 12:08

홈페이지 Q&A 게시판 게시물 통해 회원 개인정보 7,669건 노출…ID·이름·연락처·이메일 등 포함 □ 개요 2025년 5월 30일(금), 대한약사회 산하 재단법인 약학정보원은 자사 홈페이지의 운영 중단된 Q&A 게시판의 게시글을 통해 총 7,669건의 회원 개인정보가 외부에 노출된 사실을 공식 확인하였다. 노출된 항목은 회원 아이디(ID), 이름, 전화번호 및 휴대폰 번호, 이메일, 암호화된 비밀번호로, 비밀번호는 복호화 불가능한 방식으로 암호화되어 직접적인 유출 위험은 낮은 것으로 확인되었다. 현재까지 시스템 해킹이나 악성코드 등 외부 침입 흔적은 발견되지 않았으며, 내부적으로는 사고 원인을 정확히 파악하기 어려운 상황이다. 이에 따라 약학정보원은 경찰 수사를 의뢰하였고, 개인정..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 14. 11:26

랜섬웨어 공격으로 인해 예스24 홈페이지 및 앱 전면 접속 장애…회원 개인정보 유출은 없는 것으로 확인 □ 개요 2025년 6월 9일(월) 새벽 4시경, 인터넷서점 예스24의 홈페이지와 모바일 앱 전반에 걸쳐 접속 불능 사태가 발생했다. 사고 원인은 랜섬웨어 공격으로 인한 시스템 장애로 확인되었으며, 해당 공격으로 인해 도서 검색, 주문, 배송 조회, 전자도서관, 티켓 예매 등 전 서비스가 중단되었다. 예스24는 사고 직후 한국인터넷진흥원(KISA)에 피해 사실을 신고하고 보안 조치를 수행 중이다. 해커는 회원 정보 등을 암호화하고 이를 풀기 위한 금전적 대가를 요구한 것으로 알려졌으며, 현재 복구 작업이 진행 중이다. 내부 조사 결과, 회원 개인정보 및 주문 정보의 유출은 없는 것으..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 10. 21:56

외부 해킹으로 고객 개인정보 유출…닉네임·이메일·생년월일 등 최대 16개 항목 포함□ 개요 2025년 6월 2일(월) 오후 6시부터 자정까지, 모바일 기프티콘 선물 앱 '일상카페'의 일부 고객 개인정보가 외부의 불법적인 접근으로 인해 유출된 사실이 확인되었다. 해당 사고는 6월 4일 오전 11시 40분경에 인지되었으며, 이후 즉시 관계 기관에 신고 및 조치가 이루어졌다. 유출된 개인정보 항목에는 닉네임, 이메일 주소, 생년월일, 성별, 암호화된 전화번호와 암호화된 비밀번호 등 최대 16개 항목이 포함된 것으로 알려졌다. 암호화된 항목은 실제 식별이 불가능한 정보로, 직접적인 노출은 아니라고 회사 측은 밝혔다. 일상카페는 사고 인지 이후 개인정보 유출 신고, 침해 경로 분석, 보..

사이버위협분석/해킹사고 및 (개인)정보보호 이슈 2025. 6. 6. 19:39