[모두투어] 웹 해킹 공격(웹쉘 업로드)에 의한 개인정보 약 306만 건 유출_2024년 06월

모두투어,  웹 해킹 공격(웹쉘 업로드)에 의한 개인정보 약 306만 건 유출

 

 

□  개요  

     모두투어는 2024년 웹셸 공격으로 300만 명 이상의 개인정보가 유출되었습니다. 개인정보위는 이에 대해 7억4720만원의 과징금과 1020억 원의 과태료를 부과했습니다. 원인은 보안 취약점 점검 부족, 비회원 정보 파기 미이행, 유출 통지 지연 등이었습니다.

 

□  사고내용 요약  

    1. 회사명 : 모두투어
    2. 사고유형 : 웹 해킹 공격(웹쉘 업로드)

    3. 개인정보 유출범위 : 약 306만건
    4. 유출항목 :  △이름 △생년월일 △성별 △휴대전화번호 등

□  해킹대응 타임라인  

    -  2024년 6월 : 모두투어 홈페이지에 악성코드 삽입
         · 신원 미상의 해커가 웹사이트 파일 업로드 취약점을 이용해 웹셸(Web Shell) 공격을 감행
         · 회원 및 비회원 총 306만여 명의 개인정보 유출
         · 유출된 정보: 한글 및 영문 이름, 아이디(ID), 생년월일, 휴대전화번호, 연계정보(CI), 중복정보(DI) 등
    -  2024년 7월 : 모두투어, 해킹 사실 인지 및 조치
         · 악성코드 삭제 및 무단 접속 IP 차단
         · 홈페이지 취약점 점검 및 보완 조치 실시
         · 한국인터넷진흥원(KISA) 및 개인정보보호위원회에 신고
    -  2024년 9월 12일 : 모두투어, 고객 대상 개인정보 유출 사실 공지
         · 홈페이지 및 문자메시지를 통해 유출 사실 안내
         · 유출 사실 인지 후 약 3개월 만에 공지, 늑장 대응 논란
    -  2025년 3월 13일 : 개인정보보호위원회, 모두투어에 과징금 및 과태료 부과
         · 과징금 7억 4,700만 원 및 과태료 1,020만 원 부과
            ※ 위반 사항 : 개인정보 보호법 제29조(안전조치 의무), 제21조(개인정보의 파기), 제34조(유출 통지의무) 등

 

□  개인정보 유출사고 공지  

  대응방안  

    -  파일 업로드 취약점 점검 및 보안 강화
    -  접근 통제 및 유출 탐지 시스템 개선
    -  개인정보 파기 및 유출 통지 의무 강화

 

 

□  관련기사(출처)  

• 해킹으로 306만 명 개인정보 털린 모두투어…과징금 7억 4천만 원​
• 모두투어 개인정보 유출 사고, 과징금 7억 4천만원 부과
• 해킹으로 306만 명 개인정보 털린 모두투어‥과징금 7억 4천만 원​
• 모두투어, 지난 6월 해킹 사고 인지했는데... 3개월 지나 늦장 공지​
• 개인정보위, 모두투어네트워크 개인정보 유출 사고에 총 7억 5,720만 원 처분​
• 모두투어, 개인정보 유출 늑장 공지...보안사고에 고객 신뢰 '흔들'​PS뉴스
• 고객정보 306만건 유출 '모두투어'…과징금 7억5000만원
• 개인정보위, 모두투어네트워크 개인정보 유출사고 과징금·과태료 총 7억 5,720만 원 부과
• 개인정보위, 모두투어네트워크 개인정보 유출사고에 대해 과징금·과태료 총 7억 5,720만 원 부과

 

 

감사합니다.