2024.1.14 국제민간항공기구(ICAO)가 입사 지원 데이터 유출

사건 개요

• 국제민간항공기구(ICAO)가 입사 지원 데이터베이스를 대상으로 한 보안 사고
• 2016년 4월부터 2024년 7월까지 약 4만 2,000건의 채용 지원 데이터가 도난

 

피해 규모

• 도난된 데이터는 이름, 이메일 주소, 생년월일, 고용 이력 등 민감 정보 포함
• 피해 데이터는 항공 안전 및 보안 운영 시스템과 직접적으로 연결되지 않았으나, 공격자가 데이터를 활용해 민감 영역에 접근하거나 항공사 관계자를 사칭할 위험
• 데이터 유출에 포함된 정보는 개인정보를 악용한 사칭 및 추가 공격에 악용될 가능성

 

원인 및 공격 방식

• 해커 그룹 ‘나토허브(Natohub)’가 브리치포럼(BreachForum)에서 활동하며 데이터를 도난
• 입사 지원 데이터베이스 취약점, 특히 파일 업로드 기능이 악용되었을 가능성
• ICAO 직접 타깃일 가능성과 함께, 아웃소싱 업체 또는 특정 공급업체 플랫폼의 취약점 노출 가능성 제기