어렸을 때는 도서관이나 서점을 굉장히 많이 갔던 것 같은데, 나이가 들고 나서는 잘 가지 않을 뿐만 아니라 책도 많이 읽지 않는 것 같습니다. 대학생 때만 하더라도 공부를 할 때 두꺼운 전공책을 사서 필요한 부분을 읽고는 했었는데, 이제는 워낙 인터넷에 정보들이 많이 있다보니 그럴 필요가 없어졌기 때문인데요. 특히 전자책(e-Book)이 점차 대중화된 이후로는 서점에서 종이책을 사는 것보다 인터넷 서점에서 전자책을 사는 것을 선호하게 되었죠. 그런데 최근 전자책 대여 서비스가 활성화 됨과 동시에 해당 서비스에서 개인정보 유출과 같은 보안 문제가 붉어졌는데, 오늘은 밀리의 서재 서비스에서 발생한 개인정보 유출 사례에 대해 다뤄보겠습니다.
밀리의 서재에서는 월정액으로 전자책을 대여해서 읽을 수 있는데, 넷플릭스와 같은 구독형 서비스라고 보시면 됩니다. 물론 전자책 외에도 종이책을 정기구독할 수 있는 서비스도 제공하고 있기에 국내에서는 가장 많은 사용자를 보유하고 있다고 해도 과언이 아닌데요. 그런데 6월 3일 새벽에 만 명 이상의 개인정보가 유출되었다고 기사가 떳었죠. 어떻게 유출되었는지는 아직 밝혀지진 않았지만 이메일을 제외한 개인정보가 암호화된 상태로 유출된 것으로 봐서는 내부자에 의한 유출은 아니고, 일반적인 침해사고처럼 직원의 PC나 운영 서버를 장악하고 내부 DB에 접근하여 개인정보를 유출하지 않았을까 생각해봅니다.
밀리의 서재에서는 유출된 정보가 이메일 주소와 암호화되어 식별 불가능한 전화번호 및 비밀번호라고 주장하고 있는데, 비밀번호는 안전한 해시 함수를 이용하여 일방향 암호화로 되어 있어야하고, 전화번호 외에도 이메일 주소 또한 명확한 개인정보이기 때문에 양방향 암호화가 적용되어 있어야 합니다. 아무리 이메일 주소만으로 개인을 특정할 수 없더라도 저기서 유출된 이메일이 밀리의 서재를 이용하는 고객이라는 것을 알고 있는 해커라면, 밀리의 서재에서 개인정보가 유출되었으니 비밀번호를 변경해야 한다면서 피싱 사이트로 유도하는 피싱 메일을 보낼 수 있겠죠. 특히 최근 피싱 메일들이 특정 서비스에서 보내는 메일과 굉장히 유사하도록 만들어 보내기 때문에 당연히 밀리의 서재에서 보낸 것이라 생각해서 추가적인 피해가 발생하지 않을까 걱정됩니다.
‘밀리의 서재’ 해킹으로 고객 ‘개인정보’ 또 유출
밀리의 서재가 지난 6월 3일 새벽 4시경 해킹으로 인해 1만 3,182명의 고객 개인정보가 유출된 것이 확인됐다고 공지했다. 유출된 정보는 이메일 주소, 암호화된 전화번호와 비밀번호다.
www.boannews.com
밀리의 서재는 지난 2019년 6월에도 해킹으로 인해 12만 명에 가까운 회원들의 개인정보가 유출되어 언론에서 뭇매를 맞은 적이 있었는데요. 그 당시에도 밀리의 서재에서 보관하고 있던 여러 개인정보 중에서도 이메일 주소만 유출되어 해당 정보만으로 특정 회원을 식별할 수 없다고 주장했는데, 또 똑같은 사건이 벌어진걸 보니 이 정도면 너무 보안에 소홀한 것이 아닐까 생각됩니다. 작년부터 피싱 메일이 계속 정교해지고 있기 때문에 해당 서비스를 이용하는 분들께서는 이메일을 보실 때 주의하시고, 밀리의 서재에서도 개인정보 보호에 좀 더 신경썼으면 하는 바람입니다. 그럼 오늘은 짧게 여기서 마치도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 개인정보보호법 개정안 핵심 개인정보 전송요구권 (0) | 2022.06.23 |
|---|---|
| 보안 솔루션 사칭 안드로이드 악성코드 사례 (0) | 2022.06.12 |
| MS 오피스 제로데이 취약점 사례 (0) | 2022.06.02 |
| 분실된 암호화폐 복구 사칭 악성 메일 사례 (0) | 2022.06.01 |
| 금융권 내부자에 의한 개인정보 유출 사례 (0) | 2022.05.28 |
댓글