2025.04.06 한국정보보호산업협회(KISIA) 개인정보 유출 사고 요약 (1월과 비교)

1. 개요

• 1월: 2025년 1월 2일, KISIA 뉴스레터 발송 과정에서 수신인 이메일 주소가 공개되는 오류로 10,592건이 유출되었습니다.
• 4월: 2025년 4월 6일, 서버 재부팅 과정에서 1월과 동일한 발송 오류가 재발해 15,588건의 수신인 이메일 주소가 유출되었습니다.
• 두 사고 모두 휴먼 에러 및 시스템 오류로 발생했습니다.

 

2. 피해범위

• 1월: 10,592명의 뉴스레터 구독자 이메일 주소가 유출되었습니다.
• 4월: 15,588명의 뉴스레터 구독자 이메일 주소가 유출되었습니다.
• 비교: 4월 사고가 1월보다 유출 규모가 더 큽니다.

 

3. 유출항목

• 1월 및 4월 모두: 뉴스레터 구독자 이메일 주소만 유출되었습니다.
• 비교: 두 사고 모두 유출 항목은 동일합니다.

 

4. 원인

• 1월: 뉴스레터 발송 프로그램에서 수신인 주소가 삽입되는 오류로 발생했습니다.
• 4월: 서버 재부팅 및 전기공사 과정에서 동일한 오류가 재발했습니다.
• 비교: 두 사고 모두 시스템 및 관리 미흡이 원인입니다.

 

5. 대응

• 1월: 메일 전송 서버 강제 중단, 발송 프로그램 교체, 발송 확인 절차 강화 등 조치를 했습니다.
• 4월: 서버 교체 및 메일 발송 서버 사용 중지, 발송 프로그램 교체, 발송 확인 절차 강화 등 1월과 유사한 조치를 반복했습니다.
• 비교: 1월 사고 후에도 동일한 오류가 반복되어 대응 효과가 미흡했습니다.

 

6. 문제점

• 반복적 보안 사고: 1월 사고 후에도 동일한 오류가 재발해 내부 관리 및 시스템 개선이 부족했습니다.
• 신뢰도 하락: 회원사 및 업계의 신뢰가 크게 저하되었습니다.
• 2차 피해 우려: 구독자 이메일 주소가 공개되어 피싱 등 2차 피해 위험이 있습니다.
• 비교: 1월 이후에도 동일한 오류가 반복되어 문제점이 심화되었습니다.
• KISIA는 재발 방지를 위한 시스템 개선을 약속했으나, 실질적 변화는 아직 미흡한 상태입니다.