[CJ올리브영] 크리덴셜 스터핑 공격에 의한 개인정보 유출_2025년 03월

CJ올리브영,  크리덴셜 스터핑(Credential Stuffing) 공격으로 인한 비정상 로그인 시도 및 개인정보 유출

 

 

□  개요  

     CJ올리브영에서 타 웹사이트를 통해 사전 수집된 계정정보(ID/PW)를 이용한 비정상 로그인 시도가 발생하여 일부 고객의 개인정보가 유출될 가능성이 확인되었다. 이에 따라 회사는 즉각적인 보안 조치를 시행하고 고객들에게 피해 방지 안내를 공지 함.

 

□  사고내용 요약  

    1. 회사명 : CJ올리브영
    2. 사고유형 : 크리덴셜 스터핑(Credential Stuffing) 공격으로 인한 비정상 로그인 시도 및 개인정보 유출

    3. 개인정보 유출범위 : 파악중
    4. 유출항목 :  △이름 △수령인 정보(받는 분, 휴대전화번호, 주소, 공동현관 출입방법) △프로필 설정 시 등록한 사진 △닉네임 △피부타입 △피부고민 정보

 

□  해킹대응 타임라인  

    -  2025년 3월 10일 21:20 ~ 3월 12일 03:54 : CJ올리브영, 외부에서 수집된 계정정보(ID/PW)를 이용한 비정상 로그인 시도 확인
         · 약 6만여 개의 IP를 통한 대규모 로그인 시도 발생
         · 이 중 약 4,900건의 로그인에 성공하여 개인정보 유출 가능성 확인 
    -  2025년 3월 12일 : CJ올리브영, 보안 조치 시행
         · 비정상 로그인 의심 계정 잠금 처리
         · 자동입력 방지 기술 적용
         · 시스템 모니터링 강화
         · 개인정보 표시 제한 조치 
    -  2025년 3월 13일 : CJ올리브영, 고객 대상 개인정보 유출 사실 공지
         · 홈페이지 및 문자메시지를 통해 유출 사실 안내
         · 피해 고객에게 비밀번호 변경 및 2차 인증 설정 권고

 

□  개인정보 유출사고 공지  

---

 

□  대응방안  

    -  로그인 시 본인 확인 절차 강화
    -  멀티팩터 인증(MFA) 도입
    -  비밀번호 변경 권고
    -  IP 및 공격 패턴 차단
    -  크리덴셜 스터핑 공격 방지 위한  모니터링 강화

 

 

□  관련기사(출처)  

• CJ올리브영, 개인정보 4900건 유출 정황 - 이코노미스트

 

감사합니다.