2025.6.27 명품 플랫폼 '머스트잇 MustIt' 개인정보유

 

사건 개요

• 2024년 5월 6~14일과 6월 9일, 두 차례에 걸쳐 머스트잇의 특정 API에 대해 인증 없이 개인정보 일부를 조회할 수 있는 비정상 접근 시도가 발생
• 6월 23일 한국인터넷진흥원(KISA)을 통해 침해 정황을 통보받고, 자체 점검을 통해 사실을 확인
• 머스트잇은 해당 API를 즉시 차단하고 보안 점검 및 조치를 완료했으며, 관련 기관에 신고

 

피해 규모

• 유출 가능성이 있는 개인정보 : 회원정보, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 (총 9개 항목)
• 탈퇴 회원의 정보는 유출되지 않음.
• 유출 여부는 머스트잇 홈페이지에서 개별 확인 가능

 

사건 원인

• 인증 절차 없이 접근 가능한 API 구조의 취약점이 원인
• 해당 API는 폐기되었으며, 현재는 신원 확인을 거친 요청만 가능하도록 인증 구조 변경
• 로그 감시 강화 및 모든 개인정보 반환 API에 대해 동일한 인증 방식 적용

 

출처 머스트잇 홈페이지