사건 개요
- 2024년 5월 6~14일과 6월 9일, 두 차례에 걸쳐 머스트잇의 특정 API에 대해 인증 없이 개인정보 일부를 조회할 수 있는 비정상 접근 시도가 발생
- 6월 23일 한국인터넷진흥원(KISA)을 통해 침해 정황을 통보받고, 자체 점검을 통해 사실을 확인
- 머스트잇은 해당 API를 즉시 차단하고 보안 점검 및 조치를 완료했으며, 관련 기관에 신고
피해 규모
- 유출 가능성이 있는 개인정보 : 회원정보, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 (총 9개 항목)
- 탈퇴 회원의 정보는 유출되지 않음.
- 유출 여부는 머스트잇 홈페이지에서 개별 확인 가능
사건 원인
- 인증 절차 없이 접근 가능한 API 구조의 취약점이 원인
- 해당 API는 폐기되었으며, 현재는 신원 확인을 거친 요청만 가능하도록 인증 구조 변경
- 로그 감시 강화 및 모든 개인정보 반환 API에 대해 동일한 인증 방식 적용
'정보보안 > 사건사고' 카테고리의 다른 글
| 파라과이 전 국민 개인정보 유출 (1) | 2025.06.26 |
|---|---|
| 2025.6.15 애플·구글 등 160억건 로그인 정보 유출 (암호화폐 위) (0) | 2025.06.26 |
| 2025.6.22 송파구 공모전 출품자 개인정보 노출 (2) | 2025.06.26 |
| 2025.6.24 한국연구재단 ‘온라인논문투고시스템(JAMS)’ 해킹 개인정보 유출 (0) | 2025.06.26 |
| 2025.6.25 약학정보원 개인정보 유출 (0) | 2025.06.26 |