月光愛靑狼

◎ 개요

 - Parrot OS 7.1 한눈에 보기

• Debian 기반의 보안 전문 배포판으로, 침투 테스트·디지털 포렌식·리버스 엔지니어링 환경을 제공합니다.
• 7.0 메이저 릴리스 이후 나온 7.x 시리즈 첫 업데이트로, 안정성과 호환성 개선에 중점을 두고 있습니다.
• ISO 에디션과 커뮤니티 스핀 확장을 통해, 데스크톱 선택 폭과 하드웨어 대응력을 넓힌 것이 특징입니다.

◎ 내용

 - 핵심 변화와 기술 스택

• Linux 커널 6.17 채택: 최신 하드웨어 지원과 보안 패치, 성능 개선이 포함된 커널로 업데이트되었습니다.
• GRUB 2.14 및 DKMS 개선: 일부 노트북에서 발생하던 부팅 문제를 해결하기 위해 부트로더와 동적 커널 모듈 관리 구성이 손봐졌습니다.
• 제한적 i386 지원 복원: 완전한 32비트 지원은 아니지만, Steam 등 일부 도구가 필요로 하는 32비트 의존성 패키지가 다시 제공됩니다.

  > 예를 들어, 과거 7.0에서 부팅 호환성 문제가 있던 특정 노트북 환경에서 7.1로 재설치 시, GRUB와 커널 조합 변경으로 정상 부팅 가능성이 높아진다는 점이 실사용자 입장에서 큰 차이로 체감되실 수 있습니다.

​

 - 보안·침투 테스트 도구 업데이트

  > Parrot OS 7.1에서는 기존 도구의 버전 업그레이드와 더불어 최신 공격 벡터를 반영한 툴셋 정비가 이루어졌습니다.

• Metasploit Framework 6.4.111 등 익스플로잇 프레임워크 최신화.
• Burp Suite, Airgeddon, Maltego, Subfinder, Feroxbuster, TruffleHog, Rizin, Rizin Cutter, SecLists 등 주요 툴 버전 업데이트.
• 실제 2026년 침투 테스트 시나리오에서 사용되는 최신 단어리스트·서브도메인 인식·콘텐츠 디스커버리 워크플로우를 반영하여, 별도 수작업 업데이트 부담을 줄여줍니다.

  > 공격·방어 양측 모두 최신 PoC 및 취약점 탐색 도구를 요구하는 환경에서, 기본 이미지만으로 상당 부분을 커버할 수 있다는 점이 실무자에게는 큰 장점입니다.

 - MCPwn과 AI 연계 보안 실험

  > Parrot OS 7.1에서 특히 눈에 띄는 부분은 LLM(대규모 언어 모델)과 전통적인 보안 도구를 연결하는 MCPwn 실험 기능입니다.

• MCPwn은 Model Context Protocol을 활용해, nmap·sqlmap·gobuster 등과 같은 도구를 LLM이 직접 호출할 수 있게 설계된 툴입니다.
• 명령 실행은 Docker 컨테이너 내부에서 이뤄져, 호스트 시스템을 직접 노출하지 않고 워크플로우를 자동화할 수 있도록 격리 계층을 제공합니다.
• 현재는 테스트 단계로 제공되며, APT 저장소를 통해 설치가 가능해질 예정이라고 안내하고 있습니다.
• 프로젝트 로드맵 역시 7.1–7.3 기간 동안 AI 시스템과 에이전트 기반 보안 워크플로우를 실제 공격 표면으로 간주하고 연구에 집중하겠다는 방향성을 명시하고 있습니다.

  > 이러한 접근은 단순히 “AI 기능을 추가하는 것”이 아니라, 이미 보안 현장에서 사용 중인 LLM·에이전트 시스템을 새로운 공격·방어 표면으로 다루겠다는 점에서 연구용 플랫폼으로서의 활용 가치가 큽니다.

 - 데스크톱 에디션과 사용 시나리오

   > Parrot OS는 기본적으로 Security/Home 두 가지 메인 에디션을 유지하며, 7.1에서는 추가적으로 커뮤니티 스핀을 통해 데스크톱 선택지가 확대되었습니다.

• Security Edition: 침투 테스트·포렌식·리버스 엔지니어링 도구가 기본 탑재되어, 설치 직후 바로 실무 수준의 분석·테스트 환경을 구성할 수 있습니다.
• Home Edition: 일반 사용자와 개발자를 위한 에디션으로, 개인정보 보호와 개발 환경에 초점을 두되 보안 도구는 최소한만 포함합니다.
• 추가 툴 설치: Home Edition에서도 필요 시 sudo apt install parrot-tools-full 명령으로 Security Edition 수준의 툴셋을 일괄 설치할 수 있습니다.
• 커뮤니티 ISO: MATE, LXQt, Enlightenment 등 다양한 데스크톱 환경을 선택할 수 있는 ISO가 제공되어, 저사양 장비나 특정 UI 선호에 맞춰 구축이 가능합니다.

  > 또한 Raspberry Pi 환경에서는 KDE 지원을 유지하면서, 기본 데스크톱은 다시 MATE로 회귀했으며, 저사양 기기 최적화를 위해 LXQt 추가도 고려 중이라고 언급하고 있습니다.

 - 설치·업그레이드 및 마이그레이션 팁

• 신규 설치: 7.1 기준 최신 ISO로 클린 설치하는 것이 권장되며, 공식 다운로드 페이지에서 Security/Home/커뮤니티 에디션을 선택하실 수 있습니다.
• 기존 사용자 업그레이드: 이미 Parrot OS를 사용 중이신 경우 parrot-updater 또는 parrot-upgrade를 통해 7.1로 자동 업그레이드가 가능합니다.
• 6.x → 7.1 전환: 6.4 등 MATE 기반 구 버전에서 업그레이드하는 경우, 사용 중인 데스크톱 환경은 그대로 유지되며, 필요할 때 별도의 데스크톱 패키지를 설치·전환하실 수 있습니다.

  > 실제 보안 업무 환경에서는, 개인용 노트북에는 Home Edition을 설치한 뒤 필요한 도구만 추가하고, 별도의 랩 장비에는 Security Edition을 사용하는 식으로 역할 분리 구성이 용이하다는 점도 Parrot OS 7.1의 실무적 강점입니다.

 [ 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과 발표]

▷ (조사 범위) △쿠팡 이용자 인증 체계, △공격 범위 및 유출 규모 파악을 위한 접속기록 등 분석, △전사 차원의 정보보호 관리체계 점검

▷ (유출 규모)

- 내정보 수정 페이지 성명·이메일 3,367만여 건 유출 확인

- 배송지 목록 페이지 1.4억여 회 조회 (성명, 전화번호, 주소 등)

- 배송지 목록 수정 페이지 5만여 회 조회 (성명, 전화번호, 주소, 공동현관 비밀번호)

- 주문 목록 페이지 10만여 회 조회 (최근 주문한 상품 목록)

※ 개인정보 세부 유출 규모는 개인정보보호위원회에서 확정 예정

▷ (사고원인 및 문제점) 공격자는 이용자 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 접속하여 대규모 정보 무단 유출

- 위·변조한 ‘전자 출입증’에 대한 검증 체계가 미흡하여 공격자의 공격 행위를 사전에 탐지·차단하지 못함

- 모의해킹 결과로 파악한 보안 취약점 개선 미흡

- 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후, 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영

▷ (재발 방지 대책) 정상 발급 절차를 거치지 않은 ‘전자 출입증’에 대한 탐지 및 차단 체계 도입, 모의해킹에서 발견한 취약점 조치 필요, 서명키 발급·폐기 등 관리체계 강화

▷ (조치 사항) 정보통신망법상 신고 지연, 자료 보전 명령 위반 사항 확인

- (신고 지연 : 과태료) 침해사고를 인지한 시점(‘25.11.17 16:00)으로 부터 24시간이 지난 이후 한국 인터넷진흥원(KISA)에 신고(’25.11.19 21:35)

- (자료 보전 명령 위반 : 수사 의뢰) 자료 보전 명령(‘25.11.19 22:34) 이후에도 웹 및 애플리케이션 접속기록을 삭제하여 조사 제한

과학기술정보통신부(부총리 겸 과기정통부 장관 배경훈, 이하 “과기정통부”)는 쿠팡 침해사고에 대한 민관합동조사단(이하 “조사단”)의 조사 결과를 2월 10일(화)에 발표하였다.

조사단은 이번 사고에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”) 제48조의4에 따라 정보통신망에 대한 침해사고의 원인을 분석하고, 유사 사고가 재발하지 않도록 재발 방지 대책을 마련하였다.

한편, 개인정보보호위원회는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사 중에 있으며, 경찰청은 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중에 있다. 여타 관련 부처들도 소관 쟁점(이슈)들에 대해 검토 중이라고 과기정통부는 밝혔다.

Ⅰ. 쿠팡 침해사고 개요

지난 ’25.11.16일, 쿠팡은 이용자로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용의 고객의 소리(VOC, Voice Of Customer)를 접수했다.

쿠팡은 자체 조사를 통해 ’25.11.17일 침해사고 발생을 인지하고, ’25.11.19일 4,536개 계정의 고객명, 이메일, 주소 등 정보가 유출되었다는 내용으로 한국인터넷진흥원(원장 이상중)에 침해사고 신고를 하였다.

※ 정보통신망법상 침해사고 인지 시점으로부터 24시간 이내 신고를 해야 하며, 이를 위반 시 3천만 원 이하 과태료 부과 대상

그러나, 한국 인터넷진흥원이 현장 조사를 통해 추가 피해 여부를 파악한 결과, 유출 규모가 최초 신고된 4,500여 개가 아닌 3천만 개 이상의 계정임이 확인되었다.

과기정통부는 이번 사고가 국내 최대 전자상거래 이음터(플랫폼) 침해사고이며, 대규모 정보가 유출된 중대한 침해사고로 판단하고, ’25.11.30일 민관합동조사단을 구성하여 법과 원칙에 따라 피해 현황, 사고원인 등을 조사하였다.

Ⅱ. 조사 범위

조사단은 공격자가 악용한 쿠팡의 이용자 인증 체계를 정밀 분석하고, 공격 범위 및 유출 규모를 파악하기 위해 웹 및 애플리케이션 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시하였다.

쿠팡으로부터 제출받은 공격자 개인용 컴퓨터(PC) 저장장치(하드 디스크 드라이브<HDD> 2대, 솔리드 스테이트 드라이브<SSD> 2대) 및 현재 재직 중인 쿠팡의 개발자 노트북에 대한 디지털 증거 분석(포렌식 분석)도 병행하였다.

또한, 정보통신망법에 따른 정보보호 조치에 관한 지침, 정보보호 및 개인정보보호 관리체계인증(ISMS-P) 기준, 쿠팡 자체 규정 등에 대한 준수 여부를 포함해 전사 차원의 정보보호 관리체계를 점검하였다.

Ⅲ. 정보 유출 규모

공격자는 쿠팡에서 정보를 유출하였다는 이메일을 ’25.11.16일, 11.25일 두 차례 쿠팡 측에 보냈으며, 유출한 정보의 일부 내용을 이메일 본문에 기재하였다.

< 공격자가 쿠팡에 보낸 메일(’25.11.25, 유출 정보 규모)

조사단은 공격자가 유출하였다고 주장하는 이용자 정보들에 대한 사실 여부를 검증하기 위해 쿠팡의 웹 접속기록(로그)을 분석하였다.

그 결과, 조사단은 공격자가 쿠팡의 내정보 수정 페이지의 성명, 이메일, 배송지 목록 페이지의 성명, 전화번호, 주소, 공동현관 비밀번호 정보, 주문 목록 페이지의 이용자가 주문한 상품 정보를 유출한 후, 해당 정보 일부를 이메일에 기재하여 쿠팡 측에 보낸 것을 확인하였다.

※ 개인정보 유출 : 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나, 제삼자가 그 내용을 알 수 있는 상태에 이르게 된 것(표준 개인정보보호 지침)

< 공격자가 쿠팡에 보낸 메일(’25.11.25, 주문 상품 정보) >

또한, 쿠팡 웹 및 애플리케이션 접속기록(로그) 데이터 분석을 통해, 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡의 이용자 정보가 유출되었음을 확인하였다.

내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 33,673,817건이 유출되었음을 확인하였다.

<내정보 수정 페이지(예시)>

성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지에 148,056,502회 조회*하여 정보가 유출되었음을 확인하였다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함되어 있다.

* 상기 정보가 포함된 배송지 목록 페이지를 방문한 횟수를 의미

<배송지 목록 페이지(예시)>

그리고, 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 50,474회 조회했음을 확인하였다.

<배송지 목록 수정 페이지(예시)>

또한, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 102,682회 조회하였음을 확인하였다.

<주문 목록 페이지(예시)>

조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정하였으며, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정하여 발표할 예정이다.

< 쿠팡의 정보 유출 규모 분석력과 >

Ⅳ. 사고원인 분석

조사단은 사고원인을 정보 유출 경로 분석, 공격자 행위 분석 두 가지 측면에서 조사하였다.

※공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자(Staff Back-end Engineer)로 확인됨

< 유출경로 분석 >

조사단은 정보 유출 경로를 분석한 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용하여 정상적인 로그인 없이 이용자 계정에 비정상 접속하여 정보를 무단 유출했음을 확인하였다.

정상적으로 이용자가 접속하는 경우, 이용자는 로그인(ID/PW) 절차를 거쳐 일종의 ‘전자 출입증’을 발급받는다. 그리고, 쿠팡의 관문 서버는 발급받은 ‘전자 출입증’이 유효한지 여부를 검증하고, 이상이 없을 시에 서비스 접속을 허용한다.

공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후, 이를 활용해 ‘전자 출입증’을 위·변조하여 쿠팡 인증 체계를 통과하였다. 그 결과, 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 되었다.

< 공격자 행위 분석 >

① 취약점 발견 단계(25.1월 이전)

공격자는 재직 당시, 이용자 인증 시스템 설계·개발 업무를 수행하면서, 이용자 인증 체계의 취약점과 키 관리체계의 취약점을 인지하고 있었다.

※ (판단 근거) 공격자가 25.1.5~1.20 공격 시험(테스트)을 진행한 접속기록이 확인되었기에, 1월 이전에 취약점을 인지하고 있었다고 판단

먼저, 쿠팡의 관문 서버는 인증 절차를 통해 ‘전자 출입증’이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하므로, ‘전자 출입증’이 위·변조되었는지에 대해서도 확인해야 한다. 하지만 조사 결과, 관련된 확인 절차가 부재한 상황이었다.

또한, 쿠팡이 관리하는 서명키는 ‘전자 출입증’을 발급하기 위해 사용하는 도구인 만큼, 체계적이고 엄격한 관리체계를 갖추어야 한다. 이에, 업무 담당자가 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행되어야 하나, 관련 체계 및 절차가 미비하였다.

② 취약점을 악용한 공격 시험(테스트)(25.1월~)

퇴사 후, 공격자는 재직 당시 탈취한 서명키와 내부 정보를 활용하여, ‘전자 출입증’에 대한 위·변조를 진행하였다. 그 후, 이를 이용해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과하면서, 본격적인 공격을 위한 사전 시험(테스트)을 진행하였다.

<조사단 확인 내용>

③ 대규모 정보 유출(25.4.14~11.8)

공격자는 사전 시험(테스트)을 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후, 자동화된 웹크롤링 공격 도구를 이용하여 대규모 정보를 유출하였다. 이 과정에서 공격자는 총 2,313개 인터넷 규약 주소(IP)를 이용하였다.

<조사단 확인 내용>

‣ 조사단은 공격자 PC 저장장치(하드 디스크 드라이브<HDD> 2대, 솔리드 스테이트 드라이브<SSD> 2대)를 디지털 증거 분석(포렌식 분석)한 결과, 공격자가 정보 수집 및 외부 서버 전송이 가능한 공격 스크립트를 작성한 것 확인   -또한, 위·변조 ‘전자 출입증’을 이용해 타인의 계정으로 무단 접속한 후 유출한 정보(주문 목록 등)를 해외 소재의 인터넷 기반 자원 공유(클라우드) 서버로 전송할 수 있는 기능 확인   ※ 다만, 실제 전송이 이루어졌는지 여부에 대해서는 기록이 남아있지 않아 확인할 수 없음

Ⅴ. 문제점 및 재발 방지 대책

조사단은 조사를 통해 쿠팡의 정보보호 체계에 문제점을 발견하고 재발 방지 대책을 마련하였다.

< 이용자 인증 체계 문제점 >

조사단은 공격자가 위·변조한 ‘전자 출입증’을 사용하여 쿠팡 서비스에 무단으로 접속한 것을 확인하였고, 정상적인 발급 절차를 거친 ‘전자 출입증’인지 여부를 검증하는 체계가 부재한 사실을 확인하였다.

또한, 쿠팡은 모의해킹을 통해 ‘전자 출입증’ 기반 인증 체계의 취약점 발굴·개선을 추진하였으나, 발견된 문제에 한하여 해결책을 모색하고, 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이루어지지 않았다.

⇒ (재발 방지 대책) 쿠팡은 정상 발급 절차를 거치지 않은 ‘전자 출입증’에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련하여야 한다.

< 키 관리체계 문제점 >

쿠팡은 자체 규정에 따라, 서명키를 ‘키 관리 시스템’에서만 보관하고, 개발자 개인용 컴퓨터(PC) 등에 저장(소스 코드 내 하드코딩) 하지 않도록 해야 한다고 명시하고 있다. 그러나, 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어, 키 유출 및 오남용 위험이 있음을 발견하였다.

또한, 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있으나, 조사단은 키 이력 관리체계가 부재하여 목적 외 사용을 파악하는 것이 불가능함을 확인하였다.

쿠팡은 내부자(퇴사자)로 인하여 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계가 부재하였다.

이와 함께, 조사단은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대해서 점검한 결과, 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 ‘키 관리 시스템’에 접근하도록 권한을 부여하고 있었다. 그리고, 내부 규정에서 키의 수명(3년 주기)만 정의하였고, 사용자의 정보 변경에 따른 교체 등 세부적인 운영 절차 수립이 미흡하였다.

⇒ (재발 방지 대책) 쿠팡은 키 관리(발급/사용 이력 관리)·통제 체계 강화 및 운영관리 기준을 명확히 하고, 상시 점검을 시행해야 한다.

< 정보보호 관리체계 미흡 >

쿠팡은 이번 침해사고가 동일한 서버 사용자 식별번호*를 반복적으로 사용했으며, 위·변조된 ‘전자 출입증’을 활용한 비정상 접속 행위가 발생했음에도, 해당 공격 행위를 통한 정보 유출을 탐지·차단하지 못했다.

*웹 서버가 다수의 웹페이지 요청자를 구별하기 위하여 각 세션에 부여하는 임의의 문자열 값

또한, 접속기록(로그)을 일관된 기준 없이, 저장·관리하여 피해 이용자 식별 및 정보 유출 규모 산정에 어려움이 발생하였다.

※쿠팡은 접속기록(로그) 중 서버 사용자 식별번호, 이용자 고유식별번호를 내정보 수정 페이지에서만 저장·관리하고 있으며, 배송지 목록, 주문 목록 등 페이지에서는 해당 정보를 저장·관리하고 있지 않음

⇒ (재발 방지 대책) 쿠팡은 비정상 접속 행위 탐지 점검(모니터링)을 강화하고, 사고원인 분석 및 피해 규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비하여야 한다. 또한, 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고, 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축하여야 한다.

< 법 위반 사항 >

① 침해사고 신고 지연

쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국 인터넷진흥원(KISA)에 신고하여야 한다. 그러나, 정보보호 최고책임자(CISO)에게 보고한 시점(’25.11.17 16:00)으로부터 24시간이 지난 후 한국 인터넷진흥원(KISA)에 신고(’25.11.19 21:35) 하였다.

※ (침해사고 인지 시점) 침해사고 발생을 알게 된 때는 정보보호 담당자, 정보보호 담당 부서의 장, 정보보호 최고책임자, 기업 대표자 등이 정보통신망법 제2조에 정의된 침해사고의 발생을 알게 된 때를 말한다.(정보통신 분야 침해사고 대응 안내서, ’25.8월)

⇒ (조치 사항) 정보통신망법에 따른 과태료를 부과할 예정이다.

※ 정보통신망법 제76조에 따라 3천만 원 이하 과태료 부과 대상

② 자료 보전 명령 위반

과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위해 자료 보전을 명령(’25.11.19 22:34)하였다.

그러나, 쿠팡은 자료 보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 약 5개월(’24.7~11월) 분량 웹 접속기록이 삭제되었다. 또한, 애플리케이션 접속기록(로그)도 ’25.5.23~6.2일 간의 데이터가 삭제되었다.

⇒ (조치 사항) 자료 보전 명령 위반과 관련하여 수사기관에 수사를 의뢰하였다.

※ 웹 로그 삭제 : 수사 의뢰(25.12.31) / 애플리케이션 로그 삭제 : 수사 의뢰(26.2.9)

Ⅵ. 향후 계획

과기정통부는 이번 조사단의 조사 결과를 토대로, 쿠팡에 재발 방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.

https://www.msit.go.kr/bbs/view.do?sCode=user&mId=307&mPid=208&bbsSeqNo=94&nttSeqNo=3186874

1. 개요

• Ransomware.live에는 율곡이 랜섬웨어 그룹 Beast의 피해 기업(Victim)으로 등재되어 있으며, 공격 그룹은 Beast, 추정 공격일은 2026-02-05, 발견일 역시 2026-02-05로 기록되어 있습니다.
• 해당 기록과 보안 블로그 요약에 따르면, 율곡은 대한민국 창원에 본사를 둔 항공우주용 고정밀 부품·조립품 제조사로, 5축 CNC 가공과 동체(fuselage) 구조물 조립 등 항공기 핵심 구조 부품을 생산하는 것으로 소개됩니다.
• Beast 측은 율곡을 “보잉·에어버스, 한국항공우주산업(KAI)과 협력하는 글로벌 플레이어”로 설명하며, 자사 공격 사례로 명시하고 있어, 단순한 중소 제조사가 아니라 국제 항공·방산 공급망과 직접 연결된 대상임을 강조하고 있습니다.

2. 피해 범위

• Ransomware.live 프로필 상에서 율곡 피해 항목은 “데이터 탈취(Data exfiltrated)” 항목에 구체 값이 “-”로 표기되어 있어, 사이트 관점에서는 실제 유출된 데이터의 종류·규모가 명시적으로 기록되지는 않은 상태입니다.
• 다만, 동일 사건을 다루는 보안 블로그들은 이 공격을 “데이터 침해(data breach)를 동반한 랜섬웨어 공격”으로 분류하며, 율곡 내부의 민감한 비즈니스 정보(파트너·운영·생산 관련 데이터)가 공격자의 손에 들어간 것으로 전제하고 대응 방향을 논의하고 있습니다.
• 또 다른 인텔 페이지에서는 대한민국 내 랜섬웨어 피해 통계에서 율곡을 Beast 그룹에 의해 공격된 사례로 나열하며, 한국 피해자 목록에 포함시키고 있어, “국가 단위 피해 통계에 반영될 정도의 정식 랜섬웨어 케이스”로 취급되고 있습니다.

3. 유출 항목(인텔·요약 자료 기준)

 - Ransomware.live와 Beast 관련 인텔 소스에서는 구체적인 파일 목록을 직접 제공하지 않지만, 사건 설명과 업종 특성을 기반으로 다음과 같은 범주가 잠정적으로 언급됩니다.

  > 회사·운영 정보

• 항공우주용 고정밀 부품·조립품 제조 공정, 5축 CNC 가공, 동체 구조물 조립 등 율곡의 주요 사업 영역과 역량을 상세히 기술하는 자료.
• 본사 위치(창원), 설립연도(1990년), 주요 생산 품목·공정에 대한 기술적·상업적 설명.

  > 파트너·공급망 정보:

• 보잉, 에어버스, KAI와의 협력 관계를 명시하는 내용, 이들과 관련된 생산 프로그램(T-50, FA-50 등 군용기) 참여 사실 등 공급망 맥락 정보.

 > 기술·사업 설명 문서

• Beast 측 설명과 인텔 블로그 요약에서 사용되는 수준의 상세 기술·사업 설명은, 통상 공격자가 공개용으로 발췌하는 회사 소개·능력 설명 문서(제안서, 마케팅·R&D 개요 자료 등)에서 가져오는 경우가 많다고 분석됩니다.

 - 중요한 점은, Ransomware.live의 법적 고지대로 실제 탈취 자료(파일)는 저장·배포하지 않고, 공격자 측이 공개한 “설명 수준의 정보”만을 인덱싱하고 있어, 정확한 파일 이름·도면 번호·개별 문서 내용은 이 경로만으로는 확인할 수 없다는 점입니다.

4. 원인(비스트 그룹 TTP 관점의 추론)

 - Ransomware.live와 율곡 관련 요약에서는 구체적인 초기 침투 벡터(취약점, 계정 탈취, 피싱 등)를 명시하지 않으며, “Beast 그룹이 2026-02-05경 율곡을 피해자로 게시했다”는 사실 수준까지만 제공됩니다.

 - Beast 그룹에 대한 위협 인텔 분석에서는, 이 그룹이 전형적인 랜섬웨어-서비스(RaaS) 혹은 사이버 범죄 조직으로 분류되며, 일반적으로

• 취약한 인터넷 노출 서비스(RDP, VPN, 미패치 웹 서비스 등)의 취약점 악용,
• 도난·재사용 자격 증명 기반의 초기 침입,
• 내부망 측면 이동 후 파일 서버·백업 시스템 암호화 및 데이터 탈취 패턴을 사용하는 것으로 정리되고 있습니다.

 - 다만, 율곡 사건에 국한해 보면, Beast나 인텔 사이트에서 “이 MSP를 통해 들어갔다”, “특정 CVE를 악용했다”와 같이 구체 TTP를 밝힌 내용은 없어, 현재로서는 일반적인 Beast·타 랜섬웨어 그룹의 관행을 참고한 추정 수준으로만 말씀드릴 수 있습니다.

5. 대응(권고·베스트 프랙티스 관점)

 - Beast–Yulkok 케이스를 다룬 보안 인텔·솔루션 블로그에서는, 실제 기업명과 도메인을 언급하면서 다음과 같은 대응 방향을 강하게 권고하고 있습니다.

  > 침해 범위 파악 및 포렌식:

• 전체 네트워크에 대한 Compromise Assessment 수행,
• 공격자 침입 시점·경로, 내부 이동 경로, 탈취된 데이터 범위, 백도어·지속성 메커니즘 존재 여부 확인.

  > 계정·접근 통제 강화:

• 전 계정에 대한 비밀번호 변경, 다중요소 인증(MFA) 강제,
• 관리자·도메인 계정 사용 내역 점검, 불필요 계정·권한 회수.

  > 인프라·취약점 관리

• 외부 노출 서비스·VPN·원격접속 시스템 취약점 점검 및 패치,
• 백업 시스템 분리 및 복구 테스트,
• EDR·로그 기반 이상 행위 탐지 강화.

  > 파트너·규제 대응:

• 협력사(보잉·에어버스·KAI 등) 및 이해관계자에 대한 투명한 통지와 영향 평가,
• 관련 규제(수출통제, 국방·항공 보안 지침 등) 준수 여부 점검과 보고 체계 정비.

 - 이들 자료는 율곡이 실제로 어떤 조치를 했는지를 말해주는 것은 아니고, “이 수준의 공격을 받은 기업이 취해야 할 대응 방안”을 사례 기반으로 제시하는 형식입니다.

6. 문제점 및 시사점

 - Ransomware.live 및 Beast 관련 인텔은 “데이터 탈취 여부·항목”을 구체적으로 공개하지 않고 있고, Beast 측도 율곡에 대해서는 비교적 짧은 설명만 게시한 것으로 나타나, 실제 어느 수준의 설계·도면·생산 문서까지 유출되었는지 외부에서 검증하기 어렵다는 한계가 있습니다.

 - 그러나 공격자 설명에 “보잉·에어버스·KAI와 협력하는 항공우주 정밀 가공 업체”라는 협력망 정보가 강조되어 있다는 점에서,

• 공급망 차원의 신뢰도 하락,
• 협력사와의 계약·보안 요구사항 위반 가능성,
• 군용 항공기 프로그램과 연계된 보안·규제 리스크 등이 잠재적 문제로 지적될 수 있습니다.

 - 또, Ransomware.live와 같은 인덱싱 사이트에는 “데이터 탈취 항목은 ‘-’로 표기되어 있으나, 공격 사실과 파트너 정보는 글로벌에 공개되는” 구조이기 때문에, 실제 유출 데이터의 세부 내용과 관계없이 기업 평판·비즈니스 협상력에 장기적 악영향을 줄 수 있다는 점도 중요한 시사점입니다.

1. 개요

• 국내 대형 이커머스 기업 쿠팡에서 2025년 11월경 최초로 수천 개 수준의 계정 정보 유출을 공지한 이후, 추가 조사 과정에서 수십만 개 단위(16만 5000개 계정 수준)의 추가 노출이 확인된 내용으로, 전체 3370만 개 계정 유출 이슈의 일부 단계로 보도되었습니다.
• 해당 추가 유출 건은 “당초 공지보다 더 많은 계정에서 이름, 이메일, 배송지 등 개인정보가 비인가자로부터 접근·열람된 사실이 확인되었다”는 내용으로 정정·추가 안내가 이뤄진 것으로 알려져 있습니다.

2. 피해 범위

• 초기에는 수천 개(약 4500개) 계정만 유출된 것으로 발표했으나, 이후 추가 분석 결과 수십만 개 계정에서 동일 혹은 유사 유형의 비인가 접근이 발견되어, 16만 5000개 안팎의 추가 계정이 피해 범위에 포함된 것으로 파악됩니다.
• 수사와 포렌식이 진행되면서 최종적으로는 약 3370만 개 계정(사실상 대부분 이용자)의 개인정보가 무단 노출된 것으로 정리되었고, 16만 5000개 구간은 “초기 발표와 최종 대규모 유출 사이에 추가로 확인된 중간 규모 피해”로 이해할 수 있습니다.

3. 유출 항목

 - 유출·노출된 정보 항목은 다음과 같은 범주로 공지되었습니다.

• 이름
• 이메일 주소
• 전화번호
• 배송지 주소록(수령인 이름, 연락처, 주소)
• 일부 주문 정보(최근 주문 내역 등)

  > 다만 결제 정보, 신용카드 번호, 계좌번호, 로그인 비밀번호 등은 유출되지 않았다고 쿠팡 측이 반복해서 설명한 바 있습니다.

4. 원인

• 전직 개발자 등 내부 관련자가 보안 키·액세스 토큰 등을 이용해 정상 인증 절차를 거치지 않고 대량의 계정 프로필 정보에 접근한 것이 핵심 원인으로 지목되었습니다.
• 서명된 액세스 토큰을 악용한 비인가 접근, 내부 권한·키 관리 부실, 대량 조회·추출 행위에 대한 탐지·차단 미흡 등 애플리케이션 및 인프라 전반의 접근통제와 이상행위 모니터링 부족이 구조적 문제로 드러났습니다.
• 또한, 6월 24일부터 장기간 외부 서버를 통한 비인가 접근이 있었음에도 수 개월간 이를 탐지하지 못한 점이 사고 확대의 중요한 배경으로 지적되었습니다.

5. 대응

• 쿠팡은 비인가 접근 사실을 인지한 뒤 관련 세션·토큰을 차단하고, 해당 경로를 통한 추가 접근을 차단하는 기술적 조치를 시행했다고 밝혔습니다.
• 개인정보보호위원회, 한국인터넷진흥원 등 관계 기관에 사고를 신고하고, 단계적으로 피해 범위를 확장·정정하면서 유출·노출 가능성이 있는 고객들에게 개별 공지(메일·앱 알림 등)를 발송하였습니다.
• 전직 내부자를 상대로 형사 고소를 진행했고, 경찰은 개인정보 유출 혐의로 수사에 착수하여 유출 규모가 3000만 건 이상이라는 잠정 판단을 내린 상태입니다.

6. 문제점

• 처음에는 약 4500개 계정, 이후 수십만(16만 5000개) 계정, 최종적으로는 3370만 개 계정까지 피해 규모가 계속 확대·정정되면서 “축소 발표 및 투명성 부족” 논란이 크게 제기되었습니다.
• 해외 서버를 통한 장기간 비인가 접근을 제때 탐지하지 못한 점, 내부자가 보안 키를 이용해 대량 조회를 할 수 있었던 구조는 대형 플랫폼 사업자의 기본 보안·권한 관리 체계가 심각하게 취약했다는 방증으로 평가되고 있습니다.
• 이름·이메일·전화번호·주소·주문 정보 등은 스미싱, 피싱, 맞춤형 사기, 계정 탈취 시도 등에 매우 유용하게 활용될 수 있어, 단순 “정보 노출”을 넘어 광범위한 2차 피해 가능성이 우려되고 있습니다.
• 수사기관 발표(3000만 건 이상)와 회사 측 설명 사이에 괴리가 존재해, 이용자와 규제당국의 신뢰 회복을 위해선 향후 보다 철저한 투명성 확보, 재발 방지 대책, 내부자 통제 강화, 장기 로그·모니터링 체계 개선이 필수적이라는 지적이 이어지고 있습니다.
  ​

1. 개요

• 건강기능식품·화장품 업체인 김정문알로에의 과거 쇼핑몰(kjmshop.com) 서버가 2026년 1월 27일 오전 외부 침해(해킹) 공격을 받아 고객 정보 유출이 의심되는 상황이 확인되었습니다.
• 해당 쇼핑몰은 2012년에 운영이 종료·폐쇄된 사이트로, 현재 운영 중인 공식 쇼핑몰과는 분리된 옛 시스템으로 알려져 있습니다.

2. 피해 범위

• 회사 측 발표에 따르면 유출이 의심되는 고객은 약 5만 9000명 수준으로 추정되고 있습니다.
• 현재까지 실제 금전 피해나 2차 범죄 사례는 접수되지 않았다고 하나, 상당한 규모의 과거 고객 정보가 포함되어 있어 잠재 피해 가능성이 지적되고 있습니다.

3. 유출 항목

 - 유출이 의심되는 정보는 다음과 같이 안내되었습니다.

• 이름
• 아이디
• 비밀번호(당시 쇼핑몰 비밀번호)
• 주소
• 전화번호
• 이메일

  > 주민등록번호, 신용카드 번호, 계좌번호 등 금융정보는 포함되지 않은 것으로 설명했습니다.
​

4. 원인

• 2026년 1월 27일 오전 9시경, 과거 쇼핑몰 서버에 대한 외부 해킹 공격이 감지되었고, 이 과정에서 데이터베이스 일부가 유출된 것으로 추정됩니다.
• 조사 결과, 당시 시스템에 저장된 비밀번호는 현재 기준에 크게 미달하는 4자리 이상 숫자 형식 등 단순 구조였던 것으로 확인되어, 암호화·보안 수준이 매우 낮았던 점이 주요 취약점으로 드러났습니다.
• 이미 2012년에 종료된 사이트의 고객 정보를 장기간 보유하면서도, 최신 보안기준에 맞는 점검·삭제·암호화 조치를 하지 않은 관리 부실이 구조적 원인으로 볼 수 있습니다.

5. 대응

• 해킹 징후 인지 직후 네트워크 차단 및 서버 보안 조치를 진행했고, 문제의 웹사이트에 남아 있던 관련 개인정보는 즉시 파기했다고 밝혔습니다.
• 한국인터넷진흥원(KISA), 개인정보보호위원회 등 관계 기관에 사고 사실을 신고하고, 유출이 의심되는 고객에게 개별 안내 메일·문자 등을 통해 사고 경위와 주의사항을 공지했습니다.
• 회사는 재발 방지를 위해 내부 개인정보 보호체계를 강화하겠다고 발표하며, 고객들에게 공식 사과 입장을 표명하였습니다.

6. 문제점

• 운영이 종료된 지 14년이 지난 쇼핑몰 고객 정보를 여전히 보관하고 있었던 점은 개인정보 최소 보유·파기 원칙에 정면으로 배치된다는 비판을 받고 있습니다.
• 단순 숫자형 비밀번호 저장 등 당시 기준에도 미흡한 보안 설계가 장기간 방치되면서, 과거 시스템이 현재 시점의 취약 지점으로 남아 있었던 것이 이번 사고의 핵심 문제로 평가됩니다.
• 유출 정보에 금융정보는 포함되지 않았다고 하나, 이름·주소·전화번호·이메일·아이디·비밀번호 조합은 피싱, 스미싱, 계정 탈취 공격 등에 악용될 수 있어 소비자 보호 관점에서 상당한 위험을 초래할 수 있습니다.
• 특히 “현재 쇼핑몰과 연동되지 않는다”는 설명에도 불구하고, 장기 보유와 안전조치 의무 위반 여부에 따라 규제당국의 조사·제재 가능성이 제기되고 있습니다.

1. 개요

• 여신금융협회 소속 부서 팀장이 직원의 인트라넷 계정(ID·비밀번호)을 이용해 업무용 이메일을 무단으로 열람한 사건입니다.
• 카드업계 전반에서 보안사고와 내부통제 이슈가 이어지는 상황에서, 여신금융협회에서도 내부 통제 부실 논란을 촉발한 사례로 보도되었습니다.

2. 피해 범위

• 현재까지 외부 해킹이나 시스템 침입 정황은 없고, 협회 내부 인트라넷 계정을 통한 내부자 접근으로 파악되고 있습니다.
• 정확한 열람 기간, 이메일 열람 횟수, 영향을 받은 계정·메일 수 등은 조사 중으로, 피해 범위가 아직 확정되지 않은 상태라고 전해졌습니다.

3. 유출 항목

• 협회 측은 “외부로 정보가 탈취되거나 유출된 것은 아니다”라고 밝히고 있어, 대외적인 개인정보·신용정보 유출 사고로는 공식 인정되지 않은 상태입니다.
• 다만 여신금융회사(카드사 등) 관련 업무 내용이 포함된 회원사 관련 이메일이 다수 열람됐을 가능성이 언급되고 있으며, 정확한 메일 내용과 첨부파일의 범위는 내부 감사로 확인 중입니다.

4. 원인

• 가해 직원이 친분이 있는 동료 직원의 아이디와 비밀번호를 알아내 동일한 인트라넷 계정으로 로그인해 이메일을 열람한 것으로 전해졌습니다.
• 계정 공유·비밀번호 관리 미흡, 계정 도용 탐지 및 이상행위 모니터링 부재 등 기본적인 내부통제·접근통제 체계의 허점이 근본 원인으로 지적될 수 있습니다.

5. 대응

• 사건 인지 직후 협회 감사부에서 관련 사실을 보고받고, 해당 직원에 대해 대기발령 및 감봉 등 인사조치를 병행하며 사건 경위를 조사 중인 것으로 알려졌습니다.
• 협회는 외부 법률 자문을 통해 “정보 유출에는 해당하지 않는다”는 의견을 받았다고 밝히고, 내부 감사 결과를 토대로 징계 수위 결정 및 관련 규정 재정비를 추진하겠다고 밝혔습니다.
• 조사 완료 후에는 이사회(또는 인사·징계위원회)를 통해 규정 위반 여부를 공식적으로 판단하고, 후속 재발 방지 대책을 마련하겠다는 방침입니다.

6. 문제점

• 여신금융회사들을 지도·관리하는 협회에서조차 내부자에 의한 계정 도용과 이메일 무단 열람이 발생한 것은, 금융권 전반의 내부통제 신뢰도를 훼손하는 요인으로 비판받고 있습니다.
• 협회장 공석(장기 공백)으로 조직 리더십과 지배구조가 약화된 상황에서, 보안·내부통제에 대한 기강 해이가 누적된 결과라는 지적이 금융권 안팎에서 제기되고 있습니다.
• 이메일 계정·비밀번호 관리, 계정 공유 금지, 비인가 열람 탐지(로그 분석, 행위 기반 모니터링) 등 기본적인 정보보호 통제가 미흡했다는 점에서, 회원사(카드사)에게 요구하는 수준의 보안 규율을 스스로 준수하지 못했다는 구조적 문제도 드러났습니다.

자세한 내용은 아래 교보문고 홈페이지를 참고바랍니다.
시스템 해킹과 보안: 정보 보안 개론과 실습 3판

1. 개요

• 2026년 1월, AI 기반 손해사정 플랫폼 사고링크(손해사정사)에서 고객정보가 외부로 유출되고, 관련 데이터가 다크웹에 게시된 사실이 확인되었습니다.
• 사고링크는 공지를 통해 “일부 이용자의 개인정보가 외부에 노출됐을 가능성”과 외부 비정상 접근 사실을 인정했으며, 이후 언론 에서 회사가 “고객정보 다크웹 유출”을 인정했고, 실제로는 진단서 등 민감 정보까지 유출됐다는 취지로 보도되었습니다.

2. 피해 범위

• 사고링크가 공식적으로 밝힌 범위는 “일부 이용자”의 개인정보이며, 정확한 인원·건수는 조사 중이라고 설명했습니다.
• 다만 손해사정 플랫폼 특성상, 해당 서비스 이용자는 교통사고·산재·상해보험 등 사고·손해배상 관련 고객으로, 일반 쇼핑몰 이용자보다 상대적으로 민감한 정보가 포함될 가능성이 큽니다.
• 언론 에서는 회사 측이 초기에는 진단서·손해사정서 같은 민감 정보는 유출되지 않았다고 공지했으나, 실제 다크웹 게시 자료에는 진단서 등 문서 이미지·파일이 포함된 정황이 있다고 지적합니다.

3. 유출 항목

 - 사고링크가 공지에서 밝힌 항목과, 언론 에서 문제로 삼은 부분을 구분해서 정리하면 다음과 같습니다.

  > 회사 공지에서 인정한 유출 가능 항목

• 이름, 성별, 생년월일
• 휴대전화번호, 이메일 주소
• 마케팅 정보 수신 동의 여부
• 서비스 이용 과정에서 생성된 사고 관련 일부 정보 및 손해 산정에 활용된 정보 등

  > 또한 회사는 다음과 같이 밝혔습니다.

• 주민등록번호 등 고유식별정보는 수집·저장하지 않는다.
• 로그인 비밀번호는 카카오·애플 로그인 등 외부 인증 방식을 사용해 회사 시스템에 저장돼 있지 않다.
• 결제는 가상계좌 입금 방식으로 처리해 카드번호·계좌 비밀번호 등 결제 정보도 저장하지 않는다.

 - 언론 에서 제기된 추가 유출(논란) 항목

• 언론에서는 다크웹에 유출된 데이터 중에 진단서, 손해사정서 등 사고·보험 관련 민감한 문서·이미지 파일이 포함된 것으로 보인다고 지적하며,
• 회사 측 설명(“진단서 등 민감 정보 유출 정황은 없다”)과 달리, 실제 다크웹 자료에는 고객의 진료내역이 포함된 진단서 이미지, 손해사정 관련 첨부 문서 등이 노출됐다고 보도했습니다.
• 즉, 공식 공지에서는 일반 신상·연락처·사고 관련 일부 정보만 유출된 것처럼 설명했으나, 언론 에서는 의료·손해사정 문서 자체도 털린 것 아니냐는 문제를 제기하는 구조입니다.

4. 원인

 - 사고링크는 “외부 온라인 공간에 자사 서비스 관련 데이터가 게시된 정황을 인지하고 내부 점검을 실시한 결과, 외부 비인가 접근이 있었던 것으로 파악했다”고 설명하며, 외부 비정상 접근(해킹)에 의한 침해로 분류했습니다.

  > 구체적인 침투 경로는 조사 중이라며,

• 외부 비인가 접근 가능 경로 점검 및 접근 통제 강화,
• 관련 계정 및 접근 권한 전면 점검,
• 보안 취약점 패치 및 시스템 보완 조치

  > 등을 조치했다고 밝혔습니다.

 - 다크웹에 실제로 올라간 데이터 성격(진단서·손해사정서 포함 여부)으로 보아, 웹 애플리케이션·스토리지 권한 설정 또는 백엔드 스토리지(파일 서버·오브젝트 스토리지)에 대한 접근 통제 문제 등이 있었을 가능성이 업계에서 제기되고 있습니다.

5. 대응

 - 사고링크는 1월 14일 외부 게시 정황을 인지한 뒤, 16일 공식 공지를 통해 사고 사실을 알리고 KISA 등 관계기관 신고 및 추가 조사 진행 상황을 안내했습니다.

  > 내부적으로는

• 외부 비인가 접근 차단,
• 관련 계정·접근 권한 점검,
• 취약점 패치 및 시스템 보완,

  > 추가 피해 방지 조치를 진행했다는 입장입니다.
​
  > 유출된 정보 특성상 결제정보·로그인 비밀번호는 저장하지 않았다고 강조하며, 크리덴셜 스터핑·결제정보 악용 가능성은 낮다고 설명했지만,

• 이름·휴대전화번호 등은 피싱·스미싱 등 2차 공격에 악용될 수 있어 이용자 주의를 당부했습니다.
• 이용자가 피해가 의심될 경우 개인정보보호 포털 및 관계기관의 구제 절차를 안내한다는 내용도 공지에 포함되어 있습니다.

6. 문제점

 - 이번 사고에서 드러난 핵심 문제점은 다음과 같이 정리할 수 있습니다.

  > 민감 정보 관리의 신뢰 훼손

• 손해사정 플랫폼 특성상 진단서·손해사정서 등 고위험 문서가 다수 저장되는 구조인데, 회사 공지와 달리 언론 에서는 진단서 유출 정황을 지적하면서, 민감 정보 보호에 대한 신뢰가 크게 훼손되었습니다.

  > 초기 공지와 실제 다크웹 자료 간 괴리

• 회사는 “진단서 등 민감 정보 유출 정황은 없다”고 설명했지만, 보안 커뮤니티·언론이 확인한 다크웹 자료에서는 해당 문서·이미지가 포함되어 있다는 주장이 제기되어, 사실 인지·공개 범위가 과소했는지 여부가 논란이 되고 있습니다.

  > 손해사정·보험 영역의 데이터 거버넌스 취약성

• 보험·손해사정 산업은 최근 디지털 전환·AI 기반 서비스 확대로 민감 정보가 클라우드·플랫폼 사업자에 집중되는 구조인데, 이에 상응하는 접근통제·암호화·권한 분리가 충분히 이루어지지 않은 채 서비스가 빠르게 성장한 것 아니냐는 지적이 나옵니다.

  > 2차 피해(피싱·사회공학)의 장기 위험

• 이름, 연락처, 사고 관련 정보, 진단서 등은 결합될 경우 “사고 경험이 있는 고객”을 정교하게 노린 피싱·보험사기, 대리인 사칭(보험사·손해사정사 사칭) 공격에 활용될 수 있습니다.

  > 다크웹 모니터링 및 사고 공개의 시의성 문제

• 다크웹 게시 후 일정 시간이 흐른 뒤에야 인지·공지되는 구조가 반복되고 있으며, 이 과정에서 실제 유출 범위(문서 포함 여부)에 대한 조사·공개가 충분히 투명하지 않으면 이용자 보호 조치(비밀번호 변경, 상담, 피싱 주의 홍보 등)가 늦어질 수 있습니다.

1. 개요

•  
• 2026년 1월 15일, 서울시설공단이 운영하는 서울시 공공자전거 따릉이 홈페이지에서 내부 자료 약 850여 개 파일이 외부에 노출되는 사고가 발생하였습니다.
• 이어 1월 27~30일경에는 따릉이 회원 정보가 외부로 유출된 정황이 확인되어, 서울경찰청 사이버수사대가 수사에 착수하였으며, 서울시·서울시설공단은 비상 대응 체계를 가동한 상태입니다.

2. 피해범위

• 내부 자료 노출 사고의 경우, 2016년경부터 2025년 11월경까지 축적된 문서·이미지·설치파일 등 850여 개 파일이 검색엔진을 통해 누구나 열람 가능한 상태였던 것으로 알려져 있습니다.
• 회원정보 유출 정황과 관련해서는 따릉이 가입자 수가 약 500만 명 규모인 서비스라는 점만 공개되어 있으며, 실제 유출된 인원·정확한 범위는 경찰이 조사 중으로, 아직 구체적인 숫자는 확인되지 않았습니다.

3. 유출(노출) 항목

• 홈페이지 자료 노출 사고에서는 주민등록번호 등 민감한 개인정보가 포함된 문서, 연락처, 내부 업무 문서, IP 주소가 찍힌 서버 기기 사진, 데이터베이스 접속 관련 정보로 추정되는 텍스트 파일 등 다양한 형태의 파일이 외부에 노출된 것으로 보도되었습니다.
• 회원정보 유출 정황 사건과 관련해서는, 유출이 의심되는 정보로 회원 아이디(ID)와 휴대전화 번호 등이 거론되고 있으며, 따릉이 서비스 특성상 이름·주민등록번호 등은 애초 수집 대상이 아니라 유출되지 않은 것으로 전해졌습니다.

4. 원인

• 1월 15일 내부 자료 노출 사고는 “해킹이 아닌데도 주민등록번호 등 개인정보가 대규모로 검색되었다”는 보도에서 알 수 있듯이, 접근 통제·권한 설정·테스트/운영 환경 분리 미흡 등 내부 관리 부실과 시스템 설정 오류에 기인한 사고로 평가되고 있습니다.
• 회원정보 유출 정황에 대해서는 아직 구체적인 침해 경로나 공격 방식이 공개되지 않았으며, 경찰 수사에서 유출 경로·방법을 조사 중인 단계로 알려져 있습니다.

5. 대응

• 서울시설공단은 자료 노출 사실 인지 후 문제 페이지와 파일에 대한 외부 접근을 차단하고, 검색엔진에 URL 삭제를 요청하는 등 노출 경로 차단 조치를 진행한 것으로 보도되었습니다.
• 회원정보 유출 의심 정황 통보를 받은 뒤에는 서울시와 합동으로 비상 대응센터를 가동하고, 개인정보보호위원회·한국인터넷진흥원(KISA)에 관련 사실을 신고하였으며, 따릉이 앱·홈페이지 전반에 대한 보안 점검과 추가 유출 여부 확인 작업을 진행하고 있다고 밝혔습니다.

6. 문제점

• 해킹이 아닌 내부 관리 부실로 인해 주민등록번호 등 민감한 정보와 내부 시스템 관련 정보까지 검색엔진에 노출되었다는 점은, 공공기관의 기본적인 접근 통제·권한 관리·개발/테스트 절차 통제가 구조적으로 미흡하다는 문제를 드러내고 있습니다.
• 회원정보 유출 정황에 대해서는 유출 범위·경로·정확한 피해 규모가 아직 공개되지 않아, 이용자 입장에서는 자신의 정보가 실제로 어떤 방식으로, 어느 정도까지 영향을 받았는지 알기 어려운 상황이며, 사고 경위·재발 방지 대책에 대한 투명한 설명과 후속 조치가 더 필요하다는 지적이 제기되고 있습니다.
• 2024년 6월 따릉이 애플리케이션(앱) 사이버공격 당시 개인정보 유출 사실을 확인하고도 이를 관계기관에 알리지 않은 것으로 드러났습니다.

1. 개요

• 강원대학교병원 전산망이 2026년 1월 26일 새벽 4시경 랜섬웨어 공격을 받았습니다. 
• 공격자는 데이터를 암호화한 후 비트코인 수억 원을 요구하며 금전 지불을 강요하였습니다.
• 국정원과 경찰이 즉시 현장을 방문하여 조사에 착수하였습니다.
• 강원대병원은 랜섬웨어 공격으로 장애가 발생한 의료영상시스템을 28일 오후 5시 정상 복구했다고 밝혔습니다.

2. 피해범위

• MRI와 CT 영상 공유 프로그램이 마비되어 의료진께서 진료실을 직접 오가며 불편을 겪었습니다. 
• 응급 서버를 통해 진료는 정상적으로 진행되었으나 속도가 다소 느려졌습니다.
• 공격 받은 서버는 아직 복구되지 않은 상태로 알려져 있습니다.

3. 유출항목

• 병원 측에서 환자 개인정보 유출 등의 추가 피해는 없다고 확인했습니다.

4. 원인

• 구체적인 침투 경로나 원인은 현재 조사 중으로, 뉴스에서 명확히 밝혀지지 않았습니다.

5. 대응

• 응급 서버를 활용해 진료를 유지하시고, 국정원·경찰과 협력하여 사고 경위를 파악 중입니다. 
• 경찰은 범행 수법 확인을 위한 수사에 착수하였습니다.

6. 문제점

• 서버 복구 지연으로 의료 서비스 속도가 저하되었으며, 유사 공격이 전남대병원 등 다른 병원에도 발생해 의료기관 보안 취약점이 지적되고 있습니다.