사이버안전센터 운영

개인정보 유출 사고 피해
제목 개인정보 유출 사고 피해
작성자 사이버보안팀 등록일 2025-07-31 조회수 11
내용

데이터베이스 별 위챗/알리페이 피해 규모

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C5.jpg
유출된 중국 개인정보 데이터베이스 (출처: 사이버뉴스)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C61.jpg

2025년 역대 최대 규모 개인정보 유출 피해


최근 금융데이터, 위챗, 알리페이 정보 등 631기가바이트(GB)분량의 민감 개인정보 최대 40억 건이 비밀번호 없이 노출된 것을 발견했습니다. 


유출된 데이터베이스는 메신저 위챗과 관련된 wechatid_db에는 8억 500만 건, 실제 주소 정보인 address_db에는 7억 8,000만 건, bank는 6억 3,000만 건의 신용카드 번호, 생일, 이름, 전화번호 정보 등이 포함되어 있었습니다. 사용자 ID 5억 7,700만 건의 정보가 담긴 wechatinfo라는 데이터베이스까지 발견되어 메타 데이터나 커뮤니케이션 로그, 심지어 사용자 대화까지 유출됐을 가능성이 큽니다. 


중국 모바일 결제 시장 1위 알리페이의 카드와 토큰 정보 3억 건 유출도 확인되었으며, 알리페이 관련 기타 데이터 유출도 2,000만 건, 차량 등록, 고용 정보, 연금 기금, 보험에 관한 데이터도 3억 5,300만 건으로 조사되었습니다.

예스24 공지문 (출처: 예스24)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C7.jpg

국내 개인정보 유출 피해 사례

 

최근 국내 개인정보 유출 피해 사례도 급증하고 있습니다. 6월 10일 예스24도 랜섬웨어를 공격을 통한 개인정보 유출로 확인되었으며, 이로인해 도서 주문, 전자책 열람, 공연 티켓 예매 등 서비스 이용이 불가능 했습니다. 결국 9일 만에 서비스 복구가 되었으나, 해커들에게 대금을 지불하고 서비스를 복구한 것으로 알려졌습니다. 


랜섬웨어는 백업 시스템이 있어도 공격자들은 이를 미리 알고 백업 시스템을 먼저 공격해 복구를 어렵게 합니다. 더 큰 문제는 첫 공격 이후 2차, 3차 공격을 이어간다는 점이며, 1차에서 찾은 취약점을 이용해 피해 범위를 최대한 넓혀가며 대가 지불 을 더 강하게 압박 할 수 있습니다.

개인정보 유출 사고 원인 (출처: 한국인터넷진흥원) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C.png
업무 과실에 의한 개인정보 유출 사례 (출처: 개인정보보호포털)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C2.png 

개인정보 유출 사고 원인


개인정보 유출 원인은 총 3가지로 분류됩니다. 첫번째는 해킹으로 인한 개인정보 유출, 두번째는 업무 과실로 인한 개인정보 유출, 세번째는 홈페이지 설계 및 개발 과실로 인한 개인정보 유출입니다.


첫번째, 해킹으로 인한 개인정보 유출 상세 원인은 대표적으로 크리덴셜 스터핑 (Credential Stuffing), SQL 인젝션 공격 등이 있습니다.


두번째, 업무 과실로 인한 개인정보 유출 상세 원인은 대표적으로 홈페이지 게시판에 개인정보 업로드, 메일 오인발송, 개인정보가 포함된 업무용 기기 분실 등이 있습니다. 


세번째, 홈페이지 설계 및 개발 과실로 인한 개인정보 유출 상세 원인은 신뢰되지 않은 API 사용, 관리자 페이지 외부 접근 제한 미흡 등이 있습니다. 

결론


개인정보 유출은 다양한 원인으로 발생하며, 심각한 피해를 초래할 수 있습니다. 유출 사고 발생 시에는 유출 경로 파악, 피해 규모 확인, 법적 조치 및 기술적 보안 강화 등의 대응이 필요합니다. 보안 전문가는 개인정보 보호를 위한 기술적, 관리적 조치를 지속 강화하여 예방하고, 개인은 자신의 정보를 안전하게 관리하며 유출 시에는 신속하게 대응해야 하며 개인정보 보호를 위한 지속적인 노력이 중요합니다. 



개인정보 유출 시 대응 및 예방 방안


• 개인정보 유출 시 대응 


1. 기업 : 피해 사실 인지 시 신속한 신고 -> 유출 경로 및 피해 규모 파악 -> 피해 사용자 알림 및 대응 조치방법 공유 -> 법적 조치 -> 기술적 보안 강화 -> 재발 방지 대책 마련 


2. 개인 : 피해 사실 인지 시 신속한 신고 -> 개인정보 유출 사이트 및 관련된 모든 사이트 개인정보(ID/PW 등) 변경 -> 인터넷 사용기록 삭제 


• 개인정보 보호를 위한 예방 방안 

1. 개인정보 처리 방침 확인 : 서비스를 이용하기 전에 반드시 개인정보 처리 방침을 확인 

2. 출처가 불분명한 링크 클릭 주의 : 의심스러운 링크는 클릭하지 않고 삭제 

3. 강력한 비밀번호 설정 및 주기적 변경 : 타인이 유추하기 어려운 비밀번호 설정 후 정기적으로 변경 

4. 개인정보 노출 최소화 : 불필요한 개인정보는 공개하지 않도록 주의

이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
이전 글&다음 글
이전 글 2025년 1분기 취약점 현황
다음 글 다음글이 없습니다.


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심**

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.5점 / 37명 참여