요약
- 신한카드 내부 직원이 영업 실적을 목적으로 가맹점 대표자 약 20만 명의 개인정보를 무단으로 조회하고 유출한 사고가 발생함.
- 해킹 등 외부 침입이 아닌 내부 직원의 권한 오남용에 의한 내부자 위협(Insider Threat) 사례로, 약 3년에 걸쳐 장기간 정보가 유용됨.
피해규모
- 영향 범위: 신한카드 가맹점 대표 약 200,000명
- 유출 항목: 사업자등록번호, 상호명, 휴대전화 번호 및 일부 대표자의 성명, 생년월일, 성별 등 고유식별정보
- 사고 기간: 2022년 3월부터 2025년 5월까지 약 3년 2개월간 지속됨.
- 피해 현황: 현재까지 정보 판매나 실제 범죄에 악용된 정황은 식별되지 않았으며, 회사 측은 피해 확인 시 보상 절차를 진행할 예정임.
원인
- 취약점 유형: 내부 직원의 데이터베이스(DB) 접근 권한 오남용 및 이상 행위 탐지 체계의 미비임.
- 발생 경로: 직원이 신규 가맹점 유치 등 개인의 영업 실적을 올리기 위해 사내 시스템에서 가맹점 정보를 무단으로 추출하여 활용함.
- 관리적 결함: 대량의 개인정보가 장기간 반복적으로 조회되었음에도 불구하고, 이를 실시간으로 차단하거나 경고하는 내부 통제 및 모니터링 시스템이 제대로 작동하지 않음.
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.12.29 대한항공의 기내식 및 기내 판매 협력사인 케이씨앤디서비스(KC&D) 해킹 (0) | 2025.12.29 |
|---|---|
| 2025.12.29 인하대학교 학사정보시스템과 대표 홈페이지 랜섬웨어 공격 (0) | 2025.12.29 |
| 2025.12.26 닛산 개인정보 유출 사고 (0) | 2025.12.26 |
| 2025.12.26 아시아나 개인정보 유출 사고 (1) | 2025.12.26 |
| 2025.11.29 쿠팡 개인정보유출 및 해킹 사고 요약 (1) | 2025.11.30 |