찾아보고 싶은 뉴스가 있다면, 검색
검색
최근검색어
  • SQL 인젝션
    2026-07-12
    검색기록 지우기
  • 2026-07-12
    검색기록 지우기
  • ICE
    2026-07-12
    검색기록 지우기
  • HMR
    2026-07-12
    검색기록 지우기
  • RFI
    2026-07-12
    검색기록 지우기
저장된 검색어가 없습니다.
검색어 저장 기능이 꺼져 있습니다.
검색어 저장 끄기
전체삭제
7
  • 개인정보 유출 신고 45% 급증…10번 중 6번 ‘해킹’에 털렸다

    개인정보 유출 신고 45% 급증…10번 중 6번 ‘해킹’에 털렸다

    지난해 개인정보 유출 신고가 전년 대비 45% 급증했다. 해킹에 당한 사례가 10번 중 6번에 달했다. 개인정보보호위원회는 15일 ‘2025년 개인정보 유출 신고 동향 및 조사·처분 사례집’을 발간했다. 지난해 접수된 개인정보 유출 신고는 총 447건으로 전년 307건 대비 45.6% 증가했다. 유출 원인은 62%인 276건이 해킹이었다. 이어 업무 과실 25%(110건), 시스템 오류 5%(24건) 순으로 나타났다. 해킹 기법은 보다 집요해졌다. 악성코드를 심는 랜섬웨어, 웹셸 공격이 96건(35%)로 나타났고, 데이터베이스의 오작동을 노리는 ‘에스큐엘 인젝션(SQL Injection)’ 수법 등 웹 취약점을 악용한 사례도 32건(12%) 발생하며 기승을 부렸다. 비정상 루트로 관리자 페이지에 접속하는 사례(23건·8%)도 여전했다. 유출 사고 처벌 수위도 높아졌다. 지난해 개인정보위는 227건에 대해 과징금 1677억원, 과태료 5억 8720만원을 부과했다. 전년 대비 172% 증가한 수치다. 개인정보 유출은 공공과 민간을 가리지 않았다. 공공 부문은 77건, 민간 부문은 150건의 개인정보 유출 사고가 났다. 개인정보위는 사고 예방과 점검을 당부했다. 운영체제와 보안 장비를 수시로 업데이트하고 정기적인 악성 이메일 모의 해킹 훈련, 안전한 백업 체계 운영, 데이터베이스 개인정보 암호화 등을 강조했다. 개인정보위 관계자는 “오는 9월 11일부터는 고의·중과실로 인한 대규모 유출 시 전체 매출액의 10%에 달하는 과징금을 부과하는 등 제재가 대폭 강화된다”며 “경영진 차원의 선제적인 보안 예산 확보와 인력 투자가 필수적”이라고 강조했다.
  • 개인정보 2만 7000건 유출한 보람상조…과징금 5억 5000만

    개인정보 2만 7000건 유출한 보람상조…과징금 5억 5000만

    상조회사 보람상조가 개인정보 유출 사고로 과징금을 부과받았다. 개인정보보호위원회는 13일 전체회의를 열고 개인정보보호법규 위반 혐의로 보람상조개발 등 보람상조 7개 사업자에 대해 과징금 5억 4250만원과 과태료 1140만원을 부과했다고 14일 밝혔다. 7개 사업자는 보람상조개발(주), 보람상조리더스(주), 보람상조라이프(주), 보람상조피플(주), 보람상조애니콜(주), 보람상조실로암(주), 보람상조플러스(주)다. 해커는 보람상조 홈페이지 취약점을 이용해 지난 2024년 5월 데이터베이스에서 아이디와 비밀번호, 이름, 이메일 등 개인정보 2만 7882건을 빼갔다. 조사 결과 보람상조개발은 다른 6개 계열사로부터 온라인 고객 상담 등 고객관계관리(CRM) 업무를 위탁받아 수행하면서 홈페이지를 통해 수집된 개인정보를 통합 관리하는 데이터베이스를 운영해 왔다. 그러나 데이터베이스에 대한 접근제어 등 안전성 확보 조치는 소홀히했다. 해커는 웹 애플리케이션상 보안 취약점을 이용해 악의적인 SQL 구문을 입력하는 ‘에스큐엘 인젝션(SQL Injection)’ 공격을 해 개인정보를 탈취했다. 개인정보위는 보람상조개발이 유출 사실 인지 후 법정 기한이 지나 뒤늦게 관계당국에 신고했으며, 보유 기간이 지난 개인정보를 파기하지 않은 사실도 고려해 과징금을 부과했다. 개인정보위 관계자는 “계열회사 등 다수 기업이 관련된 복잡한 개인정보 처리 환경에서 개인정보 처리가 불투명하게 운영될 경우 보안 사각지대가 발생할 수 있다”고 경고했다.
  • 방통위, 여기어때에 과징금 3억원…개인정보 유출에 징계

    방통위, 여기어때에 과징금 3억원…개인정보 유출에 징계

    방송통신위원회가 지난 3월 개인정보 유출 사고가 일어난 숙박 예약 애플리케이션(앱) ‘여기어때’를 운영하는 위드이노베이션에 과징금 3억 1000만원과 과태료 2500만원, 책임자 징계권고 등 중징계 조치를 내렸다.방통위는 8일 전체회의를 열고 위드이노베이션에 이와 같은 제재를 부과키로 의결했다. 방통위는 위반행위의 중지·재발방지 대책 수립 시정명령, 시정명령 처분사실 공표 등도 함께 결정했다. 방통위가 개인정보 유출사고에 대해 책임자 징계권고 조치를 내린 것은 이번 사건이 처음이다. 앞서 방통위는 사업자의 유출신고를 받고 3월 23일부터 과학기술정보통신부·경찰청·한국인터넷진흥원(KISA)등과 함께 현장조사를 실시했다. 관련자료 분석과 재연을 통해 웹페이지 취약점을 악용한 ‘SQL인젝션 공격’으로 해커가 개인정보를 탈취한 사실을 확인해 4월 26일 발표했다. 방통위는 위드이노베이션이 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)에서 정한 접근통제, 접속기록 보존, 암호화, 유효기간제 등 개인정보 보호조치 규정 다수를 위반해 ‘매우 중대한 위반행위’에 해당한다고 보고 과징금을 부과했다. 또 지난해 3월부터 시행된 개정 정보통신망법에 따른 ‘책임자 징계권고’ 제재를 개인정보 유출사고 최초로 적용키로 했다. 이에 따라 위드이노베이션이 대표자와 책임 있는 임원을 징계토록 권고하고 그 결과를 방통위에 통보토록 했다. 온라인뉴스부 iseoul@seoul.co.kr
  • “너의 숙박 기록을 알고 있다” ‘여기 어때’서 날아온 무시무시한 문자

    “너의 숙박 기록을 알고 있다” ‘여기 어때’서 날아온 무시무시한 문자

    숙박 업체 예약을 도와주는 모바일 애플리케이션 ‘여기 어때’에서 4000 명이 넘는 이용자의 개인 정보가 유출돼 파문이 커지고 있다. 특히 이번 사건의 경우 해커들이 앱 이용자 개인에게 직접 문자로 숙박 정보를 언급하며 성적 수치심을 주는 대담한 수법을 사용했다는 점에서 심각성이 더 크다는 지적이 나오고 있다. 이번 ‘여기 어때’(위드이노베이션 운영) 해킹으로 유출된 이용자 정보의 종류는 이메일, 연락처, 예약자 이름, 숙소 정보 등이다. 해커 일당은 이후 한 문자 발송 시스템 업체 시스템도 뚫고 들어가 ‘여기 어때’ 이용자들에게 문자를 발송했다. 문자는 대부분 “○월○일 ××(숙박업소명)서 즐거우셨나요”라는 내용으로, ‘너의 숙박 기록을 우리가 알고 있다’는 취지의 메시지였다. 한 피해자는 모 포털 카페 게시판에 자신이 받은 문자 메시지 캡처 사진을 올리고 “실명과 실제 이용했던 숙소의 날짜와 이름이 정확하게 일치합니다. 해당 번호로 전화해보니 ‘여기 어때’와 관련이 없는 휴대폰 배터리 충전기 대여 업체라고 하네요”라며 황당하다는 반응을 보였다. 이런 문자를 받은 이용자가 현재 파악된 것만 4000여 명에 이른다. 하지만 이 앱 서비스 전체 회원 수가 300만 명이 넘는 만큼 앞으로 추가 피해자가 확인될 가능성도 있다 더구나 이 업체는 지금까지 업계 최초로 ‘보안 e프라이버시’ 인증을 받았다고 홍보해왔다. 벌써 이번 해킹 사건의 피해자들을 위한 포털사이트 카페도 개설됐다. DB를 공격한 IP의 90% 이상이 중국임이 드러나면서 이번 해킹이 ‘사드 보복’의 일환이라는 얘기까지 나오고 있다. 마침 지난 15일 중국 해커집단인 훙커(紅客)연맹의 한 회원이 커뮤니티 사이트에 한국 웹사이트를 집단 공격할 해커를 모집하는 글을 올리기도 했다. 아울러 이번 해킹 공격 때 여기 어때 DB는 ‘SQL 인젝션 공격’을 받았는데, 이는 훙커연맹 회원이 한국 웹사이트를 공격할 때 사용하자고 제안한 방식이기도 하다. 그러나 아직 이번 해킹을 중국 해커들의 소행으로 단정 지을 수는 없다. 무엇보다 해커들이 여기어때에 이메일을 보내 수억 원대의 금전(비트코인)을 요구한 것으로 알려지면서, 사드 보복 가능성이 크지 않다는 분석이 힘을 얻고 있다. 사드 보복 등 정치적 이유라면 금전 요구보다는 웹사이트에 정치적 메시지나 이미지를 심어놓는 것이 더 어울리기 때문이다. 여기어때 측은 “여러 가능성을 열어두고 현재 경찰청 등 수사기관이 조사하고 있다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr
  • [지구촌은 사이버 전쟁중] 악동 해커 ‘룰즈섹’ 전범인가 의적인가

    [지구촌은 사이버 전쟁중] 악동 해커 ‘룰즈섹’ 전범인가 의적인가

    사이버전쟁은 비단 국가 간 문제만이 아니다. 오히려 산업 측면에서 보면 민간 부문의 해킹이 더 큰 혼란과 비용을 낳고 있다. 신흥 악동 해커그룹 ‘룰즈섹’(LulzSec)의 ‘활약상’이 대표적이다. 미국의 보안업체 ‘블랙앤베리’는 최근 해커들을 상대로 이색적인 대회를 개최했다. 자신들의 홈페이지를 해킹, 배경화면 사진을 바꿔놓으면 1만 달러(약 1083만원)의 상금과 특채하겠다는 파격적인 조건을 내걸었다. 우승은 룰즈섹에게 돌아갔다. 하지만 이들은 혜택을 거부하고, 홈페이지에 이런 쿨(?)한 답글만을 남겼다. “우린 해냈다. 참 쉽게 (해킹이) 되더라. 돈은 넣어 둬라. 우린 룰즈섹을 위해 이 일을 했을 뿐이다.” 룰즈섹은 최근 가장 주목받고 있는 악동 해커그룹이다. 미국의 공영방송 PBS, 소니, 연방수사국(FBI) 등 굵직한 기관·기업들이 이들의 재물이 됐다. 이름부터 장난끼가 넘친다. 웃음을 뜻하는 온라인 용어 ‘LOL’(Laughing out Loud)과 ‘보안’을 뜻하는 ‘시큐리티’(Security)의 합성어다. 보안을 비웃는다는 의미다. ‘블랙앤베리’의 사례는 이들의 목적이 ‘돈’과는 거리를 둔다는 점을 방증한다. 룰즈섹은 최근 포브스와의 채팅 인터뷰에서 “우리는 즐거움을 위해 해킹한다.”고 강조했다. PBS를 해킹해 거짓기사를 올린 것도 “원래 버락 오바마가 마시멜로를 먹다 목에 걸려 죽었다는 기사를 올리려 했다.”고 농을 건넸다. 이들의 ‘해킹 축제’는 트위터에서 탄력을 받는다. 룰즈섹 트위터의 팔로어들은 이들의 해킹 소식에 환호하고, 룰즈섹은 야욕을 더욱 불태운다. 심지어 룰즈섹이 서버 비용을 기부 받겠다고 하자 7500달러가 모이기도 했다. 그렇다고 마냥 장난만은 아니다. PBS에 대한 해킹도 위키리크스에 비판적 다큐멘터리를 제작한 것에서 비롯됐다. 이들은 트위터에 “당신들의 다큐, 정말 인상적이지 않았다.”는 글을 남겼다. FBI를 공격한 것도 미 국방부가 사이버 공격을 전쟁으로 간주하겠다고 밝힌 것에 대한 반감이 컸다. 소니에 대한 공격은 대표적이다. 소니는 지적 재산권을 중시해 ‘인터넷 자유’를 추구하는 해커들에겐 ‘공공의 적’이나 다름없다. 이들의 해킹건수 37건 가운데 14건이 소니와 관련된 것들이다. 팔로어들이 이들을 ‘수호자’(Guardian)로 부르는 이유다. 방법이 과격할 뿐, 인터넷의 자유를 주장하는 유럽의 정치세력 ‘해적당’과 철학적 유사점도 발견된다. 역설적이게도 보안의식을 강화시켜 준다는 지적도 있다. 룰즈섹은 소니를 해킹하면서 “기본적인 해킹 공격인 ‘SQL 인젝션’(로그인 창에 데이터베이스 하부언어를 넣는 방법)에도 뚫렸다.”면서 허술한 보안의식을 질타했다. 하지만 여전히 비난의 대상임은 분명하다. 뉴욕타임스는 “룰즈섹이 벌인 소니 웹사이트의 해킹 복구에만 몇 년이 걸릴 수도 있다.”면서 “기업의 피해는 차치하더라도, 사생활 피해는 돌이킬 수 없다.”고 밝혔다. 이경원기자 leekw@seoul.co.kr
  • [DDos 공습] “서버접속 차단은 개인정보 유출과 달라”

    [DDos 공습] “서버접속 차단은 개인정보 유출과 달라”

    “이번에 분산서비스거부(DDoS) 공격은 해킹이 아닙니다.” 인터넷 보안 전문가들은 DDoS공격은 개인정보 등을 빼가는 해킹이 아니라는 점을 강조하면서 필요 이상으로 걱정할 필요는 없다고 강조했다. ●다량 트래픽 보내 사이트 다운시켜 DDoS 공격은 다량의 접속량(트래픽)을 한꺼번에 발생시켜 웹사이트 서버 접속을 차단하는 것이다. 한 PC에서 접속량을 늘리면 공격자가 누구인지 쉽게 알 수 있고 곧바로 대응할 수 있기 때문에 악성코드를 이용해 여러 대의 좀비PC를 만들고(분산) 이 좀비PC들이 동시에 웹사이트에 트래픽을 보내 서비스를 이용할 수 없도록(서비스거부) 한다. 정상적이지만 지속적으로 많은 트래픽을 일으켜 사이트를 다운시키는 것이다. 때문에 이번 DDoS공격 대상에 농협·신한은행·외환은행 등 시중 은행이 포함되어 있지만 금융정보 등이 유출됐을 가능성은 없다고 볼 수 있다. 반면 해킹은 컴퓨터 네트워크 보안의 취약점을 이용한 공격이다. 악성코드를 사용해 정보를 빼내거나 PC를 사용할 수 없도록 만들기도 하고 다른 PC를 공격하기도 한다. ●악성코드 올해 1~3월에만 40만개 예를 들어 웹사이트 정보에 몰래 악성코드를 집어넣어 그 사이트에 접속하기만 하면 자동으로 악성코드를 자신의 PC로 다운받게 만드는 ‘SQL 인젝션’ 해킹 등이 있다. 또 ‘트로이 목마’는 감염된 PC의 키보드 입력 정보 등 여러 정보를 빼오는 악성 프로그램의 일종이다. 안철수연구소에 따르면 웹서핑만으로 유포되는 악성코드는 올해 1~3월에만 40만개를 돌파했다. 또 같은 기간에 2만개가 넘는 웹사이트가 해킹을 당해 악성코드 유포사이트로 변조된 것으로 나타났다. 이 기간에 새로 발견된 악성코드와 스파이웨어도 8192개로, 지난해 동기(4575개)와 비교해 무려 1.8배 증가했다. 이 중 개인정보를 훔쳐가는 트로이목마 비중이 62.6%를 차지했다. 김효섭기자 newworld@seoul.co.kr
  • 개인정보 900만건 中 해커에 털렸다

    개인정보 900만건 中 해커에 털렸다

    중국 해커 한 명에 의해 최소 900만건에 이르는 국내 개인정보가 유출돼 불법 대출 영업 등에 악용된 것으로 드러났다. 국내 개인정보가 중국으로 넘어간 경로와 규모가 밝혀진 것은 처음이다. 서울경찰청 사이버범죄수사대는 27일 중국 해커에게서 국내 은행과 대부업체, 인터넷 쇼핑몰 등에 가입한 사람들의 개인정보를 사들인 뒤 대출광고 등에 이용한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 등)로 대부중개업자 천모(42·중국 도주)씨를 수배했다. 또 불법으로 유출된 개인정보인 줄 알고서도 천씨를 도와 대부업체를 운영한 대부중개업자 신모(42)·이모(34·여)씨를 불구속 입건했다. 경찰에 따르면 해커는 HDSI 2.0프로그램과 SQL 인젝션 공격방식을 이용해 국내 업체의 인터넷망을 유린했다.HDSI 2.0은 SQL 인젝션을 사용하기 위한 기본 틀로, 컴퓨터를 조금만 다룰 줄 알면 누구나 활용할 수 있다.SQL 인젝션은 일부 명령어 등으로 불법 인증을 받거나 정보를 유출하는 공격법이다. 천씨 등은 2006년과 2007년 중국 지사를 통해 해커를 고용한 뒤 1500만원을 주고 국내 개인정보 900여만건을 사들였고, 이를 이용해 지난해 5월부터 올 2월까지 신용불량자들에게 무작위로 전화를 걸어 제3금융권 대출을 알선하고 대출업자와 고객에게 25억여원의 수수료를 챙긴 혐의를 받고 있다. 천씨가 매입한 고객정보 데이터베이스에는 이름과 아이디(ID), 이메일 주소, 비밀번호, 주민등록번호, 전화번호, 주소, 신용정보 등 상세한 개인정보가 담겨 있었다. 천씨 등은 6개 금융기관과 대형 대부업체의 고객정보 485만여건,12개 중소 대부업체 고객정보 26만여건,616개 쇼핑몰 회원정보 65만여건 등 900만여건의 개인정보를 구입했다. 이름 등 단순 개인정보까지 합하면 1000만건이 넘는다. 국내 업체의 개인정보가 중국 해커에게 유출돼 보이스피싱(전화금융사기)이나 납치협박 사기 등에 활용된다는 정황은 포착됐지만 실제 유출 규모가 파악된 것은 이번이 처음이다. 천씨 등은 구입한 개인정보들을 2억여원을 받고 다른 대부업체에 다시 팔았다. 경찰 관계자는 “중국에는 국내 개인정보를 빼내는 조직이 많은 만큼 실제 유출된 건수는 더 많을 것”이라면서 “중국 해커에게 사들인 개인정보는 대부업체에 다시 판매되기 때문에 피해 사례도 늘어날 전망”이라고 말했다. 경찰은 피해 금융기관 진술, 데이터베이스에 기재된 정보수집 기간 등으로 미뤄 국내 인터넷 보안 설비가 취약했던 2005년과 2006년에 해킹이 집중적으로 이뤄진 것으로 추정하고 있다. 한편 경찰은 이달 초 인터넷 포털에서 유출된 700만건의 개인정보는 해킹이 아니라 홈페이지상의 ‘친구찾기’ 기능을 악용해 빼돌려진 것이라고 밝혔다. 김승훈기자 hunnam@seoul.co.kr
위로