2025.01.02 한국정보보호산업협회(KISIA) 개인정보 유출 사고 요약

1. 개요

• 한국정보보호산업협회(KISIA)는 2025년 1월 2일 뉴스레터 발송 과정에서 수신자 이메일 주소 10,592건이 유출되는 사고를 겪었습니다.
• 해당 오류는 발송 시스템에서 수신자 주소 분리 설정이 적용되지 않아 발생했으며, 유출 사실을 확인한 협회는 즉시 메일 서버를 강제 중단하고 발송 프로그램을 교체하는 등 긴급 조치를 실시했습니다.

 

2. 피해범위

• 총 10,592건의 이메일 주소가 노출되었으며, 피해 대상은 KISIA 뉴스레터 구독자로 국내 보안 기업 관계자 및 공공기관 담당자가 다수를 차지했습니다.
• 이메일 유출로 인한 스팸 메일 증가 및 협회 사칭 피싱 공격 등 2차 피해 우려가 제기되었습니다.

 

3. 유출항목

• 유출된 개인정보는 구독자 이메일 주소로 한정되었습니다.
• 다만, 수신자 정보가 공개적으로 노출되어 악성 메일 발송 또는 신뢰성 기반의 표적형 공격으로 악용될 가능성이 있습니다.

 

4. 원인

• 사고 원인은 휴먼 에러로 확인되었습니다.
• 뉴스레터 발송 담당자가 수신자 주소 분리 설정을 적용하지 않은 채 메일을 발송하는 과정에서 기술적 오류가 발생했으며, 이는 내부 관리 및 확인 절차 미흡에서 비롯된 것으로 판단되었습니다.

 

5. 대응

• KISIA는 사고 발생 직후 메일 서버를 강제 중단하고 발송 프로그램을 교체했습니다.
• 구독자에게는 유출 사실을 공지하며 해당 메일 삭제를 요청했고, 향후 발송 절차 강화를 약속했습니다.
• 또한 내부 직원 교육 강화 및 시스템 점검을 통해 재발 방지에 나섰습니다.

 

6. 문제점

• 보안 전문기관의 관리 소홀: 정보보호 산업을 주도하는 협회에서 기본적인 발송 절차 검증이 이뤄지지 않아 신뢰성 추락이 발생했습니다.
• 2차 피해 리스크 대응 미비: 유출된 이메일 주소가 보안 전문가를 대상으로 한 점을 고려할 때, 표적형 피싱 공격 등 고위험 상황에 대한 선제적 대응이 부족했습니다.
• 인적 요인 통제 실패: 시스템 오류가 아닌 인력 과실로 사고가 발생하며, 내부 프로세스 개선 필요성이 드러났습니다.
• KISIA는 사과문을 발표하고 보안 체계 강화를 약속했으나, 정보보호 기관으로서의 책임성 강화가 요구되는 상황입니다.