2025.03.05 노크앱 개인정보 유출 사고 요약

1. 개요

• 2025년 3월 5일, 대학생 커뮤니티 플랫폼 노크를 운영하는 (주)솔리다리테는 외부 해킹 공격으로 인해 회원 개인정보가 유출되었다고 발표했습니다. 
• 시스템 이상 징후를 확인한 후 외부 보안업체와 협력해 침투 경로를 차단하고 보안 강화 조치를 진행했습니다.

 

2. 피해범위

• 총 5만 명의 회원 정보가 유출된 것으로 추정되며, 주로 전국 22개 대학 소속 학생들이 피해를 입었습니다. 
• 유출된 정보는 학번, 채팅 내역, MBTI 등 민감한 데이터를 포함해 2차 피해 우려가 제기되었습니다.

 

3. 유출항목

• 학번(또는 수험번호), 이름, 성별, 출생연도, 연락처
• MBTI, 프로필 이미지, 이메일, 암호화된 비밀번호
• 일부 채팅서비스 이용내역(메시지 등)

 

4. 원인

• 웹사이트 취약점 악용: 해커가 노크의 보안 취약점을 통해 데이터베이스를 탈취한 것으로 추정됩니다.
• 내부 관리 소홀: 신규 서비스 확장 과정에서 보안 검토가 미흡했으며, 민감정보 암호화 조치가 부분적으로만 적용되었습니다.

 

5. 대응

• 즉시 조치: 해킹 IP 차단, 시스템 보안 강화, 유출 사실을 회원에게 문자 및 이메일로 공지했습니다.
• 고객 지원: 피해자에게 비밀번호 변경을 권고하고, 한국인터넷진흥원(KISA)의 "털린 내 정보 찾기" 사이트를 통해 유출 여부 확인을 안내했습니다.
• 장기적 대책: 보안 프로토콜 전면 개편 및 모의 해킹 훈련 실시를 발표했습니다.

 

6. 문제점

• 반복적 보안 사고: 2024년 11월 서비스 확장 당시에도 유사한 취약점이 지적됐으나 개선되지 않았습니다.
• 암호화 미적용 항목: MBTI, 채팅 내역 등 일부 정보가 암호화되지 않아 추가 유출 리스크가 발생했습니다.
• 신고 지연: 3월 5일 사고 발생 후 72시간이 지난 3월 8일에야 공식 발표해 신고 의무 위반 논란이 제기됐습니다.
• 노크 운영사는 재발 방지를 위한 보안 전담팀 구성을 약속했으나, 피해자 보상 체계 마련은 여전히 미흡한 상태입니다.