2025.05.19 한국음악콘텐츠협회 해킹 및 개인정보 유출 정리

1. 개요

• 한국음악콘텐츠협회(KMCA)는 2025년 5월 해킹으로 인한 개인정보 유출 사고가 발생했으며, 이에 대한 조사와 확정이 이루어진 후 8월에서야 피해자들에게 개별 통지를 실시했습니다.

 - 타임 테이블
  > 2025.05.19 22:14경 협회 DB 서버에 대한 SQL 인젝션 공격 발생
  > 2025.05.21 로그 분석 과정에서 유출 가능성 확인
  > 2025.05.22 유출 사실 확정
  > 2025.05.22 유출 원인이 된 취약 페이지 차단 및 시스템 패치 완료
  > 2025.05.23 평문 비밀번호 및 주민등록번호 암호화, 해당 테이블 격리
  > 2025.05.24 관계기관(개인정보보호위원회, KISA)에 유출 신고 및 추가보고 완료 
  > 2025.06.19 개인정보보호위원회 조사 시작
  > 2025.06.26 KISA침해사고 피해지원 서비스 보고서 전달
  > 2025.06.30 개인정보보호위원회 데이터베이스 백업본 전달
  > 2025.07.04 써클차트 홈페이지 팝업 안내
  > 2025.08.05 개인 정보 유출 범위 확정
 
2. 피해 규모

• 구체적인 피해 규모는 검색된 자료로는 정확한 수치를 확인하기 어렵습니다. 
• 다만 한국음악콘텐츠협회는 음악 산업 관련 다양한 회원사와 개인 회원들의 정보를 보유하고 있는 기관으로, 상당한 규모의 회원 정보가 관리되고 있었을 것으로 추정됩니다.

 
3. 유출 항목
 - 피해자에 전달한 개인정보유출 통지를 통해 확인된 유출 항목은 다음과 같습니다:
  > 성명
  > 아이디
  > 비밀번호
  > 주민등록번호
  > 이메일 주소
  > 암호 찾기 답변
  > 생년월일
  > 성별
  > 전화번호
  > 통신사 정보
  > 주소
 
4. 원인

• 구체적인 해킹 원인은 SQL 인젝션 공격으로 확인되었으나 침입 경로에 대한 상세한 정보는 확인되지 않았습니다.

 
5. 대응 조치
 - 시스템 보안점검 및 취약점 개선
 - 개인정보보호위원회 등 관계기관 신고
 - 피해자 개별 통지 (8월 실시)

6. 문제점
 - 비밀번호나 주민등록번호와 같은 민감 개인정보를 암호화하지 않은 평문으로 저장했습니다.
 - 협회는 유출이 확인된 이후인 5월23일이 돼서야 뒤늦게 암호화 작업을 진행했습니다.
 - 협회는 개인정보 유출 사실을 지난 5월21일에 인지했지만 회원 대상 안내는 7월4일 써클차트 홈페이지 팝업을 통해 이뤄졌으며, 유출 항목 전체는 8월5일에야 피해자에게 통지하였습니다.
 - 협회는 개인정보 유출에 따른 금융사기·피싱·도용 등 2차 피해 위험을 방지할 최소한의 조치조차 취하지 않아 유출뿐 아니라 대응 과정에서도 책임을 방기하였습니다.
 - 개인정보 유출 발생 72시간 내 관계기관에 미신고 및 정보 주체에게 미고지로 개인정보보호법 위반 소지가 있습니다.
 - 재발 방지를 위한 구체적 대책 등에 대해서도 별다른 설명을 내놓지 않았습니다.
 - 시스템 패치와 일부 암호화 조치 등을 거론했지만 실질적인 사과나 보완 대책은 포함되지 않았습니다.