사회
머스트잇, 개인정보 유출 사고 발생…비정상 API 접근에 보안 취약 노출
명품 전문 플랫폼 머스트잇 에서 고객 개인정보 유출 사고를 공식 인정하고 관련 조치 사항을 밝혔다.
머스트잇은 지난 23일 한국인터넷진흥원(KISA)로부터 개인정보 침해 정황을 통보받고 자체 점검을 통해 5월과 6월 두 차례에 걸쳐 비정상적인 접근 시도가 있었던 사실을 확인했다고 25일 밝혔다.
문제가 된 접근은 인증 절차 없이 개인정보 일부를 조회할 수 있는 특정 API 경로를 통해 발생했다.
5월 6일부터 14일까지 1차 비정상 접근 시도가 있었고, 이어 6월 9일 동일한 경로로 2차 시도가 감지됐다.
머스트잇은 사고를 인지한 즉시 해당 API를 차단하고 전체 시스템 보안 점검을 완료했다.
개인정보보호위원회와 KISA에도 즉시 사고를 신고했다. 유출 가능성이 있는 항목은 최대 9개로, 회원정보, 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소, 가입일 등이 포함된다.
단, 탈퇴한 회원의 정보는 포함되지 않는다.
현재 머스트잇은 유사한 보안 취약점을 제거하기 위한 일괄 점검을 진행 중이며, 인증되지 않은 API 요청에 대한 제한과 실시간 로그 감시 체계를 강화했다.
또한 문제의 API는 완전히 폐기하고, 신원 인증을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의 API로 교체했다.
해당 구조는 개인정보를 반환하는 전체 API로 확대 적용되고 있다.
머스트잇은 개인정보 유출 여부를 자사 홈페이지를 통해 확인할 수 있도록 안내하고 있으며, 정보 유출이 확인된 회원에게는 비밀번호 변경을 권장하고 있다.
회사 측은 “이번 사고를 매우 엄중히 받아들이고 있으며, 고객 정보 보호를 위한 기술적·관리적 보안 체계를 지속적으로 강화해 나갈 것”이라고 강조했다.
박세준 (karung2@sabanamedia.com) 기사제보