2025.1.17 정부24, 구글 검색 서 '전입신고서' 주소·번호 노출

사건 개요정부24 홈페이지에서 특정 개인의 전입신고서가 구글 검색을 통해 최소 3일 이상 노출 피해 규모민감한 개인정보(주소, 전화번호 등)가 포함1건의 개인정보가 노출되었으며, 당사자 요청으로 현재 삭제 조치 완료 원인비공개 데이터가 실수로 공개 설정되면서 발생한 휴먼 에러로 분석

• format_list_bulleted 정보보안/사건사고
• · 2025. 1. 20.
• textsms

법원 서류에 첨부된 개인정보 제3자에게 전송 무죄

재판과 관련해 법원으로부터 받은 서류에 포함된 타인의 개인정보(운전면허증)를 제3자에게 전송해도 개인정보보호법 위반이 아니라는 대법원 판단 법원이 '개인정보 처리자'에 해당하지 않기 때문에 처벌 대상이 되지 않는다는 취지  사건 내용A씨는 지난 7일 자신에 대한 영업방해금지 가처분 신청이 접수된 사실을 확인하고, 부산지법 서부지원에서 준비서면과 사실확인서 등을 교부받았다. A씨는 해당 서류에 첨부된 B씨의 운전면허증을 촬영해 입주자 대표 등 제3자에게 전송한 혐의로 재판에 넘겨짐 판결 내용A씨는 지난 7일 자신에 대한 영업방해금지 가처분 신청이 접수된 사실을 확인하고, 부산지법 서부지원에서 준비서면과 사실확인서 등을 교부A씨는 해당 서류에 첨부된 B씨의 운전면허증을 촬영해 입주자 대표 등 제3자에게 전..

• format_list_bulleted 정보보안/처벌 및 징계
• · 2025. 1. 14.
• textsms

법원행정처 개인정보유출 과징금 2억 700만 원과 과태료 600만 원 부과

개인정보보호위원회, 주민등록번호 유출로 법원행정처에 총 2억 700만 원의 과징금과 600만 원의 과태료를 부과  사고 내용해커가 내부망과 외부망 간 개방된 포트를 통해 침입, 1,014GB 분량의 소송 관련 문서(혼인관계증명서, 진단서 등)를 유출복원된 4.7GB 데이터에 주민등록번호를 포함한 17,998명의 개인정보(이름, 연락처, 주소 등)가 포함법원행정처는 주민등록번호가 포함된 문서를 암호화하지 않고 저장AD서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용 내부망에 위치한 ‘인터넷가상화웹서버’에 백신 소프트웨어 등 보안프로그램 미설치 등 기본적인 안전조치 미흡개인정보 유출을 인지한 후 약 8개월간 신고 및 안내문 게시를 지연 처벌 ..

• format_list_bulleted 정보보안/처벌 및 징계
• · 2025. 1. 14.
• textsms

2024.1.14 국제민간항공기구(ICAO)가 입사 지원 데이터 유출

사건 개요국제민간항공기구(ICAO)가 입사 지원 데이터베이스를 대상으로 한 보안 사고2016년 4월부터 2024년 7월까지 약 4만 2,000건의 채용 지원 데이터가 도난 피해 규모도난된 데이터는 이름, 이메일 주소, 생년월일, 고용 이력 등 민감 정보 포함피해 데이터는 항공 안전 및 보안 운영 시스템과 직접적으로 연결되지 않았으나, 공격자가 데이터를 활용해 민감 영역에 접근하거나 항공사 관계자를 사칭할 위험데이터 유출에 포함된 정보는 개인정보를 악용한 사칭 및 추가 공격에 악용될 가능성 원인 및 공격 방식해커 그룹 ‘나토허브(Natohub)’가 브리치포럼(BreachForum)에서 활동하며 데이터를 도난입사 지원 데이터베이스 취약점, 특히 파일 업로드 기능이 악용되었을 가능성ICAO 직접 타깃일 가능성..

• format_list_bulleted 정보보안/사건사고
• · 2025. 1. 14.
• textsms

피싱 공격용 플러그인, 피시WP

피시 WP의 기능맞춤형 결제 페이지 : 유명 결제 대행 서비스의 인터페이스를 흉내 내 가짜 인터페이스를 만든다.인증 코드 수집 : 팝업 창을 통해 피해자들이 일회용 인증번호를 입력하게 만들며, 이 정보를 가지고 이중인증 절차를 우회한다.텔레그램과의 연동 : 훔친 데이터를 즉시 공격자에게 전송함으로써 실시간 악용이 가능하다.브라우저 프로파일링 : IP 주소, 화면 해상도, 사용자 에이전트 같은 세부 정보를 수집하여 추가 공격을 준비한다.자동 응답 이메일 : 피해자에게 가짜 주문 확인 이메일을 보내 의심을 조금이라도 덜 받도록 시간을 끈다.다국어 지원 : 여러 언어를 지원하며, 실제 전 세계적으로 피싱 캠페인을 진행한다.난독화 : 추적과 탐지, 분석을 최대한 방해한다.피시 WP의 실제 공격 시나리오인기 상품..

• format_list_bulleted 정보보안/정책 및 기술
• · 2025. 1. 9.
• textsms

의료 분야 LLM 공격으로 환자 정보 유출 가능

서울아산병원 연구팀이 악성 공격으로 LLM의 보안 취약성을 실험한 결과, 최대 81%의 공격 성공률을 보임. 즉, 환자 정보 유출 가능성이 매우 높다는 것을 의미. 악성 공격으로 LLM 보안 기능 무력화연구팀은 LLM 프롬프트를 변형하는 방식으로 악성 공격을 시도했고, 이를 통해 LLM의 보안 장치를 우회하여 개인 정보에 접근LLM, 학습 데이터 노출 위험LLM이 답변을 생성하는 과정에서 학습된 원본 데이터가 노출될 가능성도 최대 21.8%로 나타남구체적인 환자 정보 및 의료진 정보 유출 가능성:실제로 수술 준비 시스템에 적용된 LLM을 대상으로 실험한 결과, 환자의 민감한 정보뿐만 아니라 의료진의 정보까지 노출되는 것을 확인의료 분야 LLM, 데이터 보안 강화 필수연구팀은 의료 분야에서 LLM을 활용할..

• format_list_bulleted 정보보안/정책 및 기술
• · 2025. 1. 9.
• textsms

신종 딥페이크 사기 - 조직적인 시스템으로 64억 갈취

부유한 독신 여성인 것처럼 속여 돈을 뜯어내는 신종 딥페이크 사기단이 홍콩에서 검거사우스차이나모닝포스트(SCMP)에 따르면 홍콩 경찰은 지난주 말레이시아, 대만, 싱가포르 등 아시아 전역에서 신종 로맨스·투자 사기 행각을 벌인 범죄 조직 일당 31명을 체포 사기 방법신입 조직원들은 일본어 배우기, 골프, 러닝, 성공한 사람들의 자서전 및 최신 도서 읽기, 자산 구매 또는 여행, 10만홍콩달러(약 1900만원) 이상의 고급 와인 맛보기 등을 주제로 대화를 이끌어 나가는 방법을 교육교육은 학교나 학원 수업처럼 이뤄졌다. 각 주제와 관련해 어떻게 대답해야 하는지 모범 답안이 제시됐고, 조직원들은 정말로 공부하는 것처럼 필기 메모까지 하면서 수업 진행이러한 교육은 대화를 통해 피해자의 직업이나 교육 수준, 재무..

• format_list_bulleted 정보보안/정책 및 기술
• · 2025. 1. 7.
• textsms

2025.1.07 GS 리테일 해킹 9만명 고객정보 유출

사건 개요GS리테일이 2024년 12월 27일부터 1월 4일까지 해킹 공격을 받아 고객 약 9만 명의 개인정보가 유출 피해 규모유출된 개인정보 항목은 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목.피해자 수는 약 9만 명으로 추정. GS리테일이 운영하는 GS25, GS샵, GS더프레시 등 서비스 이용 고객 포함 원인크리덴셜 스터핑(credential stuffing) 기법 사용해킹 주체는 미파악

• format_list_bulleted 정보보안/사건사고
• · 2025. 1. 7.
• textsms

2025.1.06 중국 해커 미국 통신망 해킹 후 100만명 이상 정보 유출

사건 개요중국 해커 그룹 ‘솔트 타이푼(Salt Typhoon)’이 18개월 동안 미국 주요 통신망에 침투, 100만 명 이상의 개인정보를 탈취공격 대상은 AT&T, 버라이즌 등 주요 통신사와 워싱턴 DC 지역의 주요 통신망 피해 규모고위 정치인들의 통화 정보 및 개인정보 포함피해 대상에는 도널드 트럼프 전 대통령, 카말라 해리스 부통령 등의 고위 인사도 포함된 것으로 확인일부 기밀로 지정되지 않은 문서에도 접근 원인 및 수단해커들이 통신망 내 워크스테이션에 원격 접속하여 데이터를 확보TP링크 공유기가 공격에 악용되었을 가능성이 제기되며, 미국 정부는 TP링크 제품의 판매 금지를 검토 중

• format_list_bulleted 정보보안/사건사고
• · 2025. 1. 7.
• textsms