[보안이슈] 네이처리퍼블릭 해킹! 유출된 회원 개인정보
- 알쓸잇슈/보안이슈
- 2020. 1. 27. 16:57
네이처리퍼블릭 해킹 개요
네이처리퍼블릭 홈페이지가 해킹을 당해 회원 개인정보가 유출되었다. (약 14만건이라는 기사를 봤는데 아직 정확히 밝혀진 것은 없는 것 같아 작성하지 않았다)
명절 연휴 직전이었던 1월 23일 네이처리퍼블릭 공식 홈페이지 공지사항 게시판에 '(공지) 개인 정보 유출 사고에 대한 안내 및 사과드립니다.'라는 게시글이 올라왔다. 해당 글은 아래 링크에서 확인할 수 있다.
네이처리퍼블릭 '(공지) 개인 정보 유출 사고에 대한 안내 및 사과드립니다.'
NATURE REPUBLIC
쇼핑, 이벤트, 혜택존, 커뮤니티
www.naturerepublic.com
밑에 캡처 사진에도 나와있지만, 네이처리퍼블릭은 개인정보 유출 사고에 대해 사과를 하며 해킹 날짜, 유출된 개인정보 목록, 해킹 정황 확인 날짜, 취한 조치 등과 함께 피해 접수와 관련한 전화번호와 이메일 주소를 남겼다.
정리해보면, 해킹은 1월 15~16에 발생했고, 네이처리퍼블릭이 그 사실을 인지한 것이 약 일주일 후인 1월 22일이다. 이런 상황에 하필 23일부터 명절 연휴여서 즉각적인 피해 접수를 받지 못하였다.
유출된 개인정보 목록
"아이디"
"이메일"
"이름"
"휴대폰 번호"
"생년월일"
"주소"
네이처리퍼블릭 공지사항에 따르면 유출된 개인정보 목록은 홈페이지 회원의 개인정보(아이디, 이메일, 이름, 휴대폰 번호, 생년월일, 주소)이다. 아무래도 네이처리퍼블릭 홈페이지가 해킹된 것이다 보니, 홈페이지 가입 시 입력했던 개인정보들이 유출된 것으로 보인다.
아무래도 나도 네이처리퍼블릭 회원이었던 것 같은데, 아무런 메일이 오지 않았길래 확인해보니 미회원이었다.
네이처리퍼블릭 해킹 방법? +TMI
네이처리퍼블릭 홈페이지가 어떻게 해킹되었는지에 대해선 아직 밝혀진 것이 없다. 네이처리퍼블릭 사건을 접하자마자 "인터파크 해킹사건 (인터파크 개인정보 유출 사건)" 이 떠올랐는데 이때 사용된 해킹 방법은 소위 'APT 공격'이라는 것이었다.
좀 더 자세히 말하면 공격자가 아주 작정을 하고 인터파크 내부 직원들에게 악성코드가 첨부된 이메일을 발성했고 이때 이메일은 아마 '나 악성코드요~' 티나게 보내지 않고 클릭할만한 주제였을 것이다. 그리고 해당 이메일의 첨부파일 혹은 URL 등등을 클릭한 내부직원의 PC가 악성코드에 의해 감염되어 권한이 공격자에게 넘어갔고 해당 PC를 통해 인터파크 DB에 접근해서 약 1000만건의 개인정보를 탈취한 것이다. 이 때 유출된 개인정보 건수가 약 1000만 건이고 이에 대해 인터파크에게 부과된 과징금이 45억 원이었다.
어쨌든 네이처리퍼블릭의 경우 홈페이지가 해킹당했다고 공지된 것을 보면 인터파크와 같이 내부 직원의 PC가 악성코드로 감염된 경우는 아닌 것 같다. 그리고 인터파크 1000만 건 대비 14만 건이라는 것을 보면 (위에도 말했지만 이 숫자는 정확하지 않다. 추후 결과가 나오면 수정할 예정이다) 홈페이지에 연결되어있던 회원정보 DB를 빼돌렸다고 하면 14만 건보다는 많을 것 같은데 회원정보 수 자체가 그 정도였던 건지 아니면 DB가 분산되어 저장되어있었던 건지 어떻게 된 건지 자세히 모르겠다.
네이처리퍼블릭 회원수로 아무리 구글링 해보아도 정보가 나오지 않으니 회원수가 어느 정도 되는지 알 수가 없다. 하긴 네이처리퍼블릭은 주로 여성분들이 회원이었을 것이고 그중 10대~20대이고 회원가입을 할 정도로 적극적인 수를 생각해보면... 그래도 적은 것 같다. 내 생각에는 14만 건보다는 많을 것 같다.
네이처리퍼블릭 과거 개인정보보호법 위반
구글링 하다 보니 네이처리퍼블릭은 2017년~2018년 사이에 개인정보보호법을 위반해서 과징금 1000만 원 이상을 부과받은 적이 있다. 그중, 눈에 띄는 위반 사항은 '보유기간 경과한 고객정보 미파기', '시스템에 안전한 접속수단을 적용하지 않는 등 개인정보 안전성 확보조치 위반'이다. 이런 사실 하나만으로 네이처리퍼블릭 해킹 타깃이 되진 않았겠지만 그 정도로 네이처리퍼블릭이 개인정보보호에 소홀했었다는 사실을 알려주는 건 맞는 것 같다.
개인정보보호법 위반 기관 20곳, CEO 교육 받게 되나
‘개인정보보호법’을 위반한 기업·기관 20곳의 명단이 공표됨에 따라 해당 기관의 CEO 교육 여부에도 관심이 모아지고 있다.
www.boannews.com
개인정보가 유출된 회원이 취해야 할 행동
네이처리퍼블릭 공지사항에 따르면, 문의가 있거나 개인정보 유출로 인한 피해가 의심되는 경우 문의하라고 전화번호와 이메일 주소를 남겼다. 또한, 비밀번호를 변경할 것과 앞으로의 '주의'를 당부했다. 이메일과 핸드폰 번호도 유출됐으니 피싱 메일이나 문자가 올 수도 있으니 주의해야 한다.
어쨌든 최우선적인 것은 1) 네이처리퍼블릭 홈페이지의 비밀번호를 변경하는 것과, 2) 평소에도 주의를 기울였겠지만 메일이나 문자에 첨부된 파일과 URL을 절대 클릭하지 않는 것! 인 것 같다.
'알쓸잇슈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 다크웹에 한국인 개인정보가 거래되고 있다고...? (0) | 2020.01.29 |
|---|---|
| [보안이슈] 우한폐렴 스미싱 주의! 문자 URL 클릭하지 마세요 (6) | 2020.01.28 |
| [보안이슈] 정치, 연예계에 깃든 딥페이크 영상 주의보! (2) | 2020.01.25 |
| [보안이슈] 데이터3법 개정안 통과! 개정안 내용과 남은 문제점 (0) | 2020.01.20 |
| [보안이슈] MS의 윈도우7 지원종료 공지! 대체 OS 혹은 계속 사용하기 위한 방안 (0) | 2020.01.19 |