안녕 Owen 이다!
611만 명? 잠자던 휴면 계정까지 깨웠다고?!
자네들 퇴근하고 하는 넷마블 PC 게임 포털 사이트에서 해킹 사고가 터졌대! 총 611만 명의 고객 및 임직원 정보가 유출됐다는 기사 못 봤어?
내가 말이야, 이 기사를 보고 느낀 가장 큰 문제점이 뭔 줄 알아? 휴면 처리된 채로 남아 있던 ID와 암호화된 비밀번호 3천100만여 개도 유출된 것으로 파악됐다는 거야 ! 고객이 안 쓴다고 잠재워 둔 계정까지 해커들이 싹 긁어갔다는 뜻이잖아!
물론 회사 측에서는 "주민등록번호 등 민감정보 유출은 없다"고 했고, 유출된 휴면 ID 정보는 "개인을 식별할 수 있는 정보는 아니다"라고 해명했지. 하지만 암호화된 비밀번호가 함께 유출된 이상, 해커들이 다른 사이트에 대입 공격(Credential Stuffing)을 시도할 위험은 여전히 남아 있어!
자네, 딴 생각 말고 잘 들어. '파기했어야 할' 정보의 관리 실패가 얼마나 무서운 결과를 낳는지 뼈저리게 깨달아야 해!
이번 넷마블 사태는 '데이터를 삭제하거나 파기하는 과정'의 기본 원칙이 얼마나 무너졌는지 여실히 보여주고 있어.
휴면 계정 관리 실패: "3,100만 개 비밀번호, 대입 공격의 재료!"
가장 큰 문제는 휴면 계정 정보야. 개인정보보호법에 따라 일정 기간 사용하지 않은 계정 정보는 파기하거나 분리 보관해야 할 의무가 있어.
이름이나 생년월일 같은 개인을 식별할 수 있는 정보는 삭제되었다고 해도, ID와 암호화된 비밀번호 3천100만여 개가 유출됐어. 이 암호화된 비밀번호 쌍은 해커들이 다른 사이트에 무작위로 로그인 시도를 하는 크리덴셜 스터핑 공격에 악용될 수 있어. '사용하지 않는 정보'에 대한 파기 의무를 제대로 이행했는지 의문이 드는 대목이야!
임직원 및 가맹점 정보 유출: "공격의 표적을 회사 내부로 끌어들인 꼴!"
고객 정보 외에 유출된 정보도 심각하게 봐야 해.
PC방 가맹점 정보: 2015년 이전 PC방 가맹점 약 6만 6천여 곳의 사업주 이름, ID, 이메일이 유출됐대. 이는 해커들이 B2B 대상 피싱이나 스피어 피싱 공격을 시도하는 기반 자료가 될 수 있어.
임직원 정보: 전현직 임직원의 이름, 생년월일, 회사 이메일 주소 등 약 1만 7천여 건도 유출됐어. 이 정보들은 해커가 회사 내부망을 노리기 위한 '사회공학적 공격'에 활용될 수 있다는 걸 명심해야 해!
시스템 전반 확대 점검: 넷마블이 약속한 '시스템 전반에 대한 확대 점검'은 휴면 계정에 남아있는 불필요한 데이터를 철저히 파기하고, 암호화된 비밀번호에 대한 안전성 검토를 최우선으로 포함해야 해! 약속이 공허한 메아리가 되지 않으려면, 개인정보 파기 원칙 준수부터 다시 확립해야지
"보안은 '데이터 파기'에서 완성된다!"
보안의 기본은 '생성된 데이터' 관리뿐 아니라 '파기되어야 할 데이터' 관리에서 완성된다는 거야. 쓰지 않는 휴면 정보가 곧 해커에게 넘겨주는 공격 자원이 될 수 있어!
지금 당장 우리 회사 시스템의 '휴면 계정 및 불필요 데이터 파기 프로세스'를 점검해! 개인을 식별할 수 없는 정보라도, 암호화된 비밀번호가 남아 있다면 그건 잠재적인 위협이 될 수 있다는 걸 명심해!
