웹호스팅 업체 가비아도 털렸다…7만7천 건 개인정보 유출
2019.05.15 오후 12:56
가비아 "직원 계정 도용돼, '크리덴셜 스터핑' 공격 추정"
[아이뉴스24 김국배 기자] 국내 웹호스팅 업체 가비아가 해킹 공격을 당해 7만7천여 건의 고객 개인정보를 유출한 것으로 나타났다.

15일 가비아 및 한국인터넷진흥원(KISA)에 따르면 가비아는 지난달 29일 자체 보안 점검 과정에서 고객 정보 침해사실을 인지하고 이달 2일 KISA에 개인정보 유출 사실을 신고했다.

이번에 유출된 정보는 일부 고객 이름과 이메일 주소, 아이디, 연락처 등이다. 이중 대다수는 이메일 주소와 아이디라는 게 회사 측 설명이다.



가비아는 이번 개인정보 유출 원인을 '크리덴셜 스터핑' 공격으로 추정하고 있다. 크리덴셜 스터핑은 공격자가 이미 탈취한 로그인 정보를 자동화된 툴을 이용해 다른 온라인 사이트에 마구 대입, 사용자 계정에 접근을 시도하는 공격을 말한다. 많은 사용자가 여러 서비스에 동일한 아이디와 암호를 사용한다는 허점을 노린 것이다.


글로벌 콘텐츠전송네트워크(CDN) 기업 아카마이의 '인터넷 보안 현황 보고서'에 따르면 지난해 기준 우리나라는 미국, 인도, 캐나다, 독일, 호주에 이어 여섯 번째로 크리덴셜 스터핑 공격이 많이 발생하는 국가다.

가비아 관계자는 "직원 계정이 도용돼 고객정보가 담긴 문서에 접근한 것으로 보고 있다"며 "다만 아직까지 유출된 개인정보를 악용한 의심 사례나 피해 접수는 없는 상황"이라고 말했다.

현재 가비아는 내부시스템 계정에 대한 기술적·관리적 보안조치를 강화중이다. 또한 관계기관과 공조로 개인정보 유출 내역을 조회할 수 있도록 조치한 뒤 개인별로 통지하고 있다.

KISA와 방송통신위원회는 조만간 개인정보 유출 사고조사에 착수할 계획이다. KISA 관계자는 "현재 방통위와 함께 조사 일정을 조율하고 있다"고 전했다.

아카마이 측은 "사용자가 독특한 ID와 비밀번호 조합을 사용하는 것이 인증정보 도용 문제를 해결할 수 있는 가장 효과적인 방법"이라고 했다.

/김국배 기자 vermeer@inews24.com