1. 개요
- 명품 플랫폼 머스트잇에서 2025년 5월과 6월에 두 차례에 걸친 해킹으로 개인정보가 유출되는 사고가 발생했습니다.
- 머스트잇은 6월 23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보받았고, 6월 25일 공식 홈페이지를 통해 사실을 공개했습니다.
- 이번 사건은 최근 디올, 티파니, 아디다스에 이어 명품 관련 업계에서 연이어 발생한 개인정보 유출 사건입니다.
2. 피해범위
- 유출 가능성이 있는 개인정보는 현재 가입한 회원을 대상으로 하며, 탈퇴 회원의 정보는 포함되지 않았습니다.
- 구체적인 피해자 수는 공개되지 않았지만 현재 가입 회원 전체를 대상으로 한 것으로 파악됩니다.
- 고객은 머스트잇 홈페이지에 로그인 후 자신의 개인정보 유출 여부와 항목을 직접 확인할 수 있습니다.
3. 유출항목
- 개인정보 유출 항목은 최대 9개로 다음과 같습니다:
- 회원번호
- 아이디
- 가입일
- 이름
- 생년월일
- 성별
- 휴대전화번호
- 이메일
- 주소
4. 원인
- 이번 해킹의 원인은 시스템 설계 오류로 인한 API 보안 취약점이었습니다.
- 문제가 된 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조로 설계되어 있었습니다.
- 해커들은 5월 6일부터 14일까지 특정 API에 대한 대량의 비정상 접근을 시도했고, 6월 9일에는 동일한 API 경로를 통한 2차 공격을 시도했습니다.
5. 대응
- 머스트잇은 사고를 인지한 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했습니다.
- 기존 문제 API를 폐기하고 신원 확인 절차를 거친 사용자만 개인정보를 열람할 수 있는 신규 인증 시스템을 도입했습니다.
- 웹 방화벽(WAF), 침입 탐지 시스템(IPS) 등 외부 위협 대응 체계를 강화하고 비정상 접근에 대한 로그 감시를 상시화했습니다.
- 또한 개인정보보호위원회와 KISA 등 관련 기관에 즉시 신고를 실시했습니다.
6. 문제점
- 이번 사건에서 드러난 주요 문제점은 API 설계 단계에서의 보안 고려 부족입니다.
- 인증 절차 없이 개인정보에 접근할 수 있는 구조를 가진 API를 운영한 것이 근본적인 원인이었습니다.
- 또한 외부의 비정상적인 접근 시도에 대한 실시간 모니터링과 대응 체계가 미흡했던 것으로 보입니다.
- 머스트잇은 이번 사고를 계기로 개인정보 보호 체계를 보다 철저히 구축해 나가겠다고 밝혔습니다.
'IT > News' 카테고리의 다른 글
| 2025.07.02 놀유니버스 놀인터파크 개인정보유출 사고 정리 (1) | 2025.07.02 |
|---|---|
| 2025.06.30 서브웨이 개인정보유출 사고 정리 (0) | 2025.06.30 |
| 2025.06.25 파파존스 개인정보 유출 사고 요약 (0) | 2025.06.25 |
| 2025.05.30 약학정보원 해킹 및 개인정보 유출 사고 요약 (1) | 2025.06.14 |
| 2025.06.09 예스24 해킹 및 랜섬웨어 감염 사고 요약 (4) | 2025.06.11 |