|
SK스토아는 온라인 쇼핑몰 웹사이트에 신원 미상의 해커가 2023년 11월 14일부터 21일까지 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격 방법으로 침입해 12만5000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격으로, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.
개인정보위 조사 결과, 해당 기간 해커는 SK스토아 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만번 이상 대규모로 로그인을 시도했다. 공격 기간 일평균 로그인 시도 건수는 평시 대비 1092배 높은 것으로 나타났다. 이 중 12만5000여개 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.
이에 개인정보위는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응과 같은 안전조치의무를 소홀히 했다고 판단했다. 조사 과정에서 SK스토아 일부 웹페이지에서는 이용자의 비밀번호가 암호화 조치 되지 않은 평문 상태로 송·수신된 사실도 추가적으로 파악됐다.
유출 사고 발생 후 SK스토아는 비정상적인 로그인 시도에 대한 보안 정책을 적용·강화하는 등 위반사항을 시정했다. 아울러 향후 유사 피해가 재발하지 않도록 유출된 이용자 대상 계정 초기화와 기존 로그인 방식 변경 등 조치를 취했다.
|
조사 결과 동행복권 비밀번호 변경 페이지에서 인증받은 아이디가 아닌, 다른 아이디로 입력을 조작하면 비밀번호가 변경되는 취약점이 드러났다. 이에 개인정보위는 동행복권이 ‘비밀번호 변경 기능’ 설계·구현 시 이용자 인증 관련 보안 취약점에 대해 점검·개선 조치를 소홀히 하고, 해커의 과도한 접속 시도 등 이상행위에 대한 탐지 및 차단 등 안전조치가 미흡했다고 판단했다.
동행복권은 유출사고 발생을 인지한 즉시 홈페이지를 임시 폐쇄하고, 계정 비밀번호 초기화 및 취약한 소스코드 수정 등 위반사항을 시정했다. 또한 향후 유사 피해가 재발하지 않도록 비정상적인 접속시도에 대한 탐지·차단을 강화하는 등의 조치를 취했다.
개인정보위는 “최근 크리덴셜 스터핑 등 해킹공격이 빈번하게 발생하는 만큼 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고, 이용자 인증 관련 취약점 점검 등에도 각별한 주의를 기울일 것”이라고 당부했다.
