[티머니(Tmoney)] 크리덴셜 스터핑 공격에 의한 개인정보 유출 의심 발생_2025년 04월

티머니(Tmoney),  크리덴셜 스터핑(Credential Stuffing) 공격에 의한 개인정보 유출 의심 발생

 

 

□  개요  

     티머니는 최근 신원 불명의 해외 IP를 통한 외부 경로에서 수집된 계정정보(ID/PW)를 이용한 로그인 시도가 발생했다고 밝혔습니다. 불법 수집된 계정정보와 티머니의 정보가 일치한 일부 고객에 대해 개인정보 유출 정황이 확인되었습니다. 유출 항목은 최대 4개(이름, 이메일, 주소, 휴대폰번호)이며, 관련 고객에게 개별 안내가 완료되었습니다. 현재 추가 유출 방지를 위해 비밀번호 초기화, CAPTCHA 도입 등 보안 조치를 시행 중입니다.

 

□  사고내용 요약  

    1. 회사명 : 티머니(Tmoney)
    2. 사고유형 : 크리덴셜 스터핑(Credential Stuffing) 공격에 의한 개인정보 유출 정황

    3. 개인정보 유출범위 : 일부 계정정보 일치 고객 대상
    4. 유출항목 :  △이름 △이메일 (※ 고객 입력 시 : △주소 △휴대폰번호 포함 최대 4개 항목)

 

□  해킹대응 타임라인  

    -  2025년 4월 12일 : 티머니, 홈페이지에 '개인정보 유출(의심) 관련 안내' 공지 게시
         · 사전에 수집된 고객 계정 정보를 이용한 비정상 로그인 시도 탐지
         · 공격자는 해외 IP를 사용하여 로그인 시도
    -  2025년 4월 14일 : 보안업계, 티머니의 크리덴셜 스터핑 공격 피해 사실 보도
         · 유출된 것으로 추정되는 개인정보에는 이름, 이메일, 주소, 휴대폰번호 등이 포함될 가능성 언급
    -  2025년 4월 중순 이후 : 티머니, 피해 계정에 대한 비밀번호 초기화 및 보안 강화 조치 시행
         · 사용자들에게 비밀번호 변경 및 2단계 인증 설정 권고
         · 보안 시스템 업데이트 및 추가적인 방어 체계 구축

 

□  개인정보 유출사고 공지  

---

 

□  대응방안  

    -  로그인 시 본인 확인 절차 강화
    -  멀티팩터 인증(MFA) 도입
    -  비밀번호 변경 권고
    -  IP 및 공격 패턴 차단
    -  CAPTCHA 보안 기능 적용
    -  크리덴셜 스터핑 공격 방지 위한  모니터링 강화

 

 

□  관련기사(출처)  

• 티머니, 개인정보 유출 사고… “이름·이메일 등 노출 가능성” - 조선비즈
• 또 '크리덴셜 스터핑' 문제…티머니, 외부공격으로 개인정보 유출 - 디지털데일리
• '개인정보 유출' 티머니, KISA 신고 완료…피해 규모는 쉬쉬 - 네이트뉴스
• 티머니, 개인정보 유출 사고…외부 공격 받아 - 아이티데일리

 

감사합니다.