2025.07.02 놀유니버스 놀인터파크 개인정보유출 사고 정리

1. 개요

• 2025년 7월 2일, 놀 인터파크를 운영하는 놀유니버스에서 개인정보 유출 의심 사건이 발생했습니다.
• 국내 최대 티켓예매 플랫폼이자 여행 플랫폼인 놀 인터파크에서 개인정보 유출 정황이 포착되어, 개인정보보호위원회에 정식 신고되었습니다.

 

2. 피해범위

• 아직 유출 범위와 피해자 수는 확인되지 않은 상태입니다.
• 개인정보위가 조사에 착수함에 따라 구체적인 피해 규모가 드러날 전망입니다.
• 놀 인터파크 이용자 중 1000명 이상의 정보주체에 관한 개인정보가 유출되었거나, 민감정보 또는 고유식별정보가 유출된 것으로 추정됩니다.

 

3. 유출항목

• 현재까지 구체적인 유출 항목은 공개되지 않은 상황입니다.
• 놀유니버스 관계자는 "개인정보 유출이 의심돼 개인정보위에 신고한 상태"라며 "현재 회사 차원에서 로그 분석 등 내부 파악을 진행하고 있다"고 밝혔습니다.

 

4. 원인

• 이번 개인정보 유출 사고의 구체적인 원인은 아직 조사 중입니다.
• 놀유니버스는 현재 로그 분석을 통한 내부 조사를 진행하고 있어, 원인 규명을 위한 작업이 계속되고 있습니다.

 

5. 대응

• 놀유니버스는 개인정보 유출 의심 사실을 즉시 개인정보보호위원회에 신고했습니다.
• 개인정보보호법에 따라 1000명 이상의 정보주체에 관한 개인정보 유출이나 민감정보 유출 시 72시간 내 신고해야 하는 의무를 이행했습니다.
• 현재 회사 차원에서 로그 분석 등을 통한 내부 파악을 진행하고 있으며, 인터파크글로벌 웹사이트에는 7월 1일 오전 11시부터 점검으로 티켓 예매가 중단되었습니다.

 

6. 문제점

• 거듭되는 해킹 사고 후 불과 2년여 만에 또 다시 개인정보 유출 정황이 발생한 만큼, 놀유니버스는 보안 관리에 대한 비난을 면하기 어려워 보입니다. 
• 2023년 크리덴셜 스터핑 공격으로 78만4920건의 개인정보를 탈취당한 지 얼마 되지 않아 재차 개인정보 유출 사건이 발생한 것으로, 반복적인 보안 사고에 대한 근본적인 원인 분석과 대책 마련이 필요한 상황입니다.

 

◎ 과거 인터파크 개인정보유출 사고 정리

 

2016년 인터파크 개인정보 대량유출 사고

1. 개요

• 2016년 7월, 인터파크에서 1030만명의 개인정보가 대량 유출되는 역대급 사고가 발생했습니다. 
• 당시 인터파크 회원 2000만명의 절반에 해당하는 규모로, 개인정보 유출 사고로는 역대 최고 규모였습니다.

 

2. 피해범위

• 총 1030만명의 개인정보 2540만건이 유출되었습니다. 
• 인터파크 직원이 받은 피싱 이메일로 시작된 APT 공격으로 약 2개월간 해커들이 잠복하며 정보를 빼낸 것으로 추정됩니다.

 

3. 유출항목

• 아이디, 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목이 유출되었습니다. 
• 다만 주민등록번호와 금융정보는 유출되지 않았습니다.

 

4. 원인

• 인터파크 직원이 자신의 동생 이메일 주소로 발송된 악성코드가 심어진 가족사진 파일을 클릭하면서 시작되었습니다. 
• 해당 직원의 PC부터 시작하여 파일공유 서버를 거쳐 DB서버 관리 직원의 PC까지 연쇄적으로 악성코드에 감염되었습니다.

 

5. 대응

• 7월 11일 해커로부터 협박 메일을 받고 해킹 사실을 인지한 후, 12일 경찰에 신고했습니다. 
• 하지만 홈페이지 공지는 25일에 이루어져 늑장 대응 논란이 있었습니다.

 

6. 문제점

• 접근 통제 등 기술적·관리적 보호조치를 소홀히 한 점이 주요 문제로 지적되었습니다. 
• 방송통신위원회로부터 44억 8천만원의 과징금과 2500만원의 과태료를 부과받아 당시 역대 최고액의 처분을 받았습니다. 
• 또한 집단소송을 통해 1인당 10만원의 위자료를 지급하게 되었습니다.

 

2023년 인터파크 크리덴셜 스터핑 공격

 

1. 개요

• 2023년 1월 10일, 인터파크가 크리덴셜 스터핑 공격을 받아 개인정보가 유출되었습니다. 
• 크리덴셜 스터핑은 다른 곳에서 유출된 아이디와 패스워드를 무작위로 대입해 로그인에 성공한 후 개인정보를 탈취하는 방식입니다.

 

2. 피해범위

• 총 78만4920건의 개인정보가 유출되었습니다.

 

3. 유출항목

• 이메일, 성별, 생년월일, 전화번호, 주소 등이 포함되었습니다.

 

4. 원인

• 동일한 접속주소에서 대규모로 발생한 로그인 시도 같은 비정상적 상황을 차단하는 정책을 적용하지 않아 발생했습니다.

 

5. 대응

• 확인 즉시 개인정보보호위원회와 한국인터넷진흥원 등 관계기관에 신고했습니다. 
• 유출 의심 회원의 계정을 임시 차단하고 비밀번호 변경을 유도했습니다.

 

6. 문제점

• 개인정보위는 인터파크에 10억2645만원의 과징금과 360만원의 과태료, 시정명령을 내렸습니다. 
• 접근 통제 등 안전조치 의무를 소홀히 한 점이 문제로 지적되었습니다.

 

◎ 과거 야놀자 개인정보유출 사고 정리

 

2019년 야놀자펜션 해킹 사건

 

1. 개요

• 2019년 3월, 야놀자펜션 앱이 해킹 공격을 받아 개인정보 유출 사고가 발생했습니다.

 

2. 피해범위

• 약 7만명의 고객 정보가 유출되었습니다.

 

3. 유출항목

• 야놀자펜션 앱 이용자의 개인정보가 유출되었습니다.

 

4. 원인

• 해킹 공격으로 인한 것으로 파악됩니다.

 

5. 대응

• 관계기관에 신고 및 대응 조치가 이루어졌습니다.

 

6. 문제점

• 야놀자의 보안 체계 취약성이 노출된 사례로 지적받았습니다.

 

2021년 야놀자 클라우드 관리 소홀 사건

 

1. 개요

• 2021년, 야놀자에서 클라우드 관리 소홀로 인한 개인정보 유출 사고가 발생했습니다.

 

2. 피해범위

• 약 5만2천건의 개인정보가 외부로 유출되었습니다.

 

3. 유출항목

• 고객의 개인정보가 외부로 유출되었습니다.

 

4. 원인

• 관리자 접근 권한이 IP로 제한되지 않아 외부에서 무단 접근이 가능했던 관리 부실이 원인이었습니다.

 

5. 대응

• 유출 사실 확인 후 관계기관에 신고 및 보안 조치를 실시했습니다.

 

6. 문제점

• 이로 인해 야놀자는 과징금과 과태료 처분을 받았습니다. 
• 클라우드 보안 관리의 기본적인 원칙을 지키지 않은 점이 심각한 문제로 지적되었습니다.