개인정보 유출사태

1 개요

보안의 기본은 불신과 경계심이다.

- 벤자민 프랭클린

대한민국 기업들의 보안 인식 수준과 개인정보 취급 수준이 얼마나 시궁창인지 알 수 있는 사례들의 모음집...인줄 알았는데 일본에서 사례가 하나 생겨서 세계구 항목으로 바꾼다.(...) 다만 해외 사이트의 경우 주민등록번호같은 민감한 정보는 애초에 요구하지도 않으므로 한국의 유출 사건보다 임팩트가 미미하며, 비밀 번호/카드 번호만 완전히 새걸로 바꿔주면 다시 안전해진다.[1]

잊을 만 하면 크게 한건씩 터져서 분명히 '개인정보를 잘 관리하겠다'고 적어놓은 약관에 동의한 소비자들을 엿먹이고 있다. 더군다나 집단소송이 걸려도 가입자들이 보상을 받는 경우는 거의 없다.[2] 게다가 개인정보 유출 당한것을 모른다거나 돈을주고 해커를 입막음 하기도 하며 알면서도 언론에 숨기는 건수까지 생각하면... 이쯤되면 개인정보가 아니라 공공정보 2005년 ~ 2013년 유출 기록 기사

2 사건 목록

여기 기록된 사건만이 전부가 아니다. 인터넷 언론에만 보도된 사건도 많다는 점을 기억할 것. 잊혀질만 하면 터지는 개인정보 유출사고

2.1 2000년대

2.1.1 2006~2008년 하나로텔레콤

하나로텔레콤이 가입자의 개인정보를 몇 년에 걸쳐서 다른 회사에 팔아넘긴 사건.

2006~2007년에 51만여명의 개인정보를 약관에 없는 텔레마케팅 회사에 제공했는데, 이로 2011년 2월 2심에서 벌금형을 선고받았다.#

2008년 4월에는 600만여명의 개인정보를 역시 텔레마케팅 회사에 제공하였는데,# 이로 영업정지 40일, 벌금 1억 7800만원을 맞았다.#

개인정보가 염가에 판매되었습니다
장난치냐 2억도 안되는 벌금?

2.1.2 2008년 옥션

2월과 4월 두 번에 걸쳐 1000만건이 넘는 개인정보가 유출됐다. 처음엔 유출 건수가 1081만건으로 파악했으나 2010년 공지를 통해 1863만건이라고 정정했다.#

2.1.3 2008년 9월 GS칼텍스

압구정동 골목에 1119만 2097명의 개인정보가 엑셀파일로 저장된 CD가 버려져 있었던 게 언론에 보도된 사건...인줄 알았는데 언론에 찌른 사람이 빼돌린 사람 본인인 것으로 나중에 밝혀졌다.#

2011년 6월 27일 2심에서 회사의 배상 책임이 없다고 판결했다.#

2.2 2010년대

2.2.1 2010년

2.2.1.1 2010년 3월 25개 업체

25개 업체에서 2000만여건의 개인정보가 유출된 사태. 이 중에는 신세계몰, 아이러브스쿨, 보배드림, 대명리조트 등이 포함되어 있었다.#

해커 3명이 붙잡혔는데, 이미 개인정보를 1억 5000만원을 받고 중국 해커에게 팔아넘긴 상태였다.#

2.2.2 2011년

2.2.2.1 2011년 4월 플레이스테이션 네트워크

해당 항목 참고바람.
참고로 피해 건수는 대략 1억 정도라고 한다.

2.2.2.2 2011년 7월 네이트 싸이월드

이 사건은 워낙에 파문이 크기 때문에 SK컴즈 개인정보 유출 사건 항목이 따로 만들어졌다. 항목 참조.

중국발 해킹으로 네이트닷컴 가입자의 개인정보 3500만건이 유출됐다. 주민등록번호와 비밀번호는 암호화되어있으나, 이메일주소와 핸드폰번호 등은 평문상태로 누출되어 스팸이나 피싱등이 우려되는 상황이다.#
심지어 유출된 개인정보 중에는 혈액형까지도 포함되어 있어 사람들을 경악하게 했다.

2011년 7월 29일 SK컴즈측에서는 기자회견을 열고 앞으로 보관 대상 개인정보를 최소화하겠으며, 이미 가입한 고객정보 중에서도 회원들의 주민등록번호 등 불필요한 정보는 모두 폐기하겠다고 밝혔다. #

2.2.2.3 2011년 11월 넥슨 메이플스토리

게임업체 넥슨코리아의 회원 1300만명의 개인정보가 해킹당했다.

방송통신위원회는 25일 넥슨코리아 1320만 회원의 개인정보가 해킹으로 인해 유출됐다고 밝혔다. 해킹된 개인정보는 온라인 게임인 '메이플스토리' 이용자들의 것으로 이름, ID, 주민등록번호, 비밀번호 등이다.
이걸로 메이플 스토리의 밸런스화가 이루어졌다. 근데 농담만은 아니다.
넥슨이 이때 비번 변경시 아이템을 지급하겠다고 하고 포털사이트 배너를 통해 홍보를 했었다. 그 보상은 비교적 적었지만 넥슨이 돈슨이라고 불리는 걸 감안해도 결코 적은 보상이라고 하기는 애매했다.

2.2.3 2012년

2.2.3.1 2012년 7월 KT

KT 영업시스템이 해킹당해 휴대전화 가입자 870만명의 개인정보가 유출됐다.
하지만 그 전부터 해킹당했던 것이 지금 밝혀진 것으로 2월부터 빼내어 텔레마케팅에 활용되었다고 한다.

유출된 개인정보는 이름과 주민등록번호, 휴대전화번호와 사용 요금제, 기기변경일 등이다.

올레 홈페이지에서 조회할 수 있는데 조회해서 정보유출에 해당되는 사람이라면 정보가 유출되었으나 전량 회수되었다개소리말을 볼 수 있다. 흙바닥에 엎질러진 물 컵에 담기 세계 최초 개인정보 회수 기술 보유 회사 개인정보는 돌아오는거야! 그 기술로 인공위성좀 다시 가져와봐라! 결국 피해자들이 집단으로 모여서 1인당 50만원씩 지급하라며 소송을 냈는데 1심 법원은 10만원씩 지급하라며 일부승소로 판결을 내렸다. 개인정보가 한명당 10만원밖에 안한다는 소리인가!!! <사실 개인정보의 가치를 따지면 계산할 수도 없었을 것이다. 그런데 이 유출은 대부분 약정이 다 된 사람이었다고 한다. 하지만 그 이외의 사람도 있다는 이야기이다. 그 인원수가 얼마나 되는거니


아래는 사과문.

머리 숙여 사과 드립니다.

kt를 사랑해 주시는 고객 여러분,
저희 kt는 고객님의 개인정보보호에 최우선으로 노력해왔으나,
소중한 고객님의 정보가 유출된 점에 대해 머리 숙여 사과 드립니다.
경찰 수사결과발표를 통해 밝혀진 바와 같이 이번 사고는 그 동안
국내에서 음성적으로 활동해 온 범죄 조직들이 침해를 시도한 것으로
확인되었으며 그 과정에서 KT는 일부 고객님의 개인정보가 용의자에
불법 수집되는 상황을 감지하고, 경찰에 즉시 신고하여 현재 범죄
조직 전원이 검거되고, 범죄 조직이 불법 수집한 개인정보 또한
전량 회수되었습니다.
kt는 침해 감지 이후 불법으로 접근한 IP를 즉시 차단하고 보안을
한층 더 강화하는 한편, 지속적인 감시로 더 이상의 피해가 발생되지
않도록 조치를 완료하였습니다.
kt는 이번 일을 계기로 내부 보안체계 강화와 전 직원의 보안의식을
철저히 하여, 향후 이러한 일이 다시는 발생하지 않도록 최선의 노력을
다하겠습니다.
항상 kt를 믿고 사랑해 주시는 고객님께 심려를 끼쳐 드리게 되어
다시 한번 진심으로 사과 드립니다.

하지만 KT는 개인정보 유출이 한번으로 끝나지 않았다.

2.2.3.2 2012년 8월 블리자드 엔터테인먼트

8월 4일 경 허가받지 않은 외부 접속자가 일부 배틀넷 계정 정보에 접속했다는 사실을 발견, 홈페이지와 배틀넷 가입자들의 메일을 통해 이 사실을 공지했다.

고객님께,

안타깝게도, 블리자드 엔터테인먼트는 지난 8월 4일(토요일)날 허가 받지 않은 외부 접속자가 일부 배틀넷 계정 정보에 접속했다는 사실을 발견하였습니다.
이번 불법 접근은 중국을 제외한 전 지역의 배틀넷 플레이어들의 계정 이메일 주소가 영향을 받았습니다. 배틀넷 계정을 보유한 국내 유저의 경우, 이메일 주소는 유출이 되었지만, 실명, 비밀번호 및 주민등록번호를 포함한 모든 계정 정보에 대해서는 접근 또는 유출 사실이 발견되지 않았습니다.
개인에게 중요한 결제 정보도 외부에서 접근 또는 유출되지 않은 것으로 현재까지 확인 되었습니다. 블리자드는 허가 받지 않은 외부 접속을 확인하게 된 직후 외부 접근을 차단하고, 즉시 경찰에 수사를 의뢰하는 등, 신속한 조치를 취하였습니다. 지금도 지속적으로 경찰 및 보안 전문가들과 함께 협력하여 조사를 진행 중입니다.
참고로, 여러분에게 비밀번호나 로그인 정보를 물어보는 이메일은 피싱 이메일 입니다. 블리자드 엔터테인먼트에서 발송되는 이메일은 절대로 여러분의 비밀번호를 물어보지 않습니다.
본 사안과 관련하여 추가적인 질문이 있으시면 전용 상담메일 websupport@blizzard.co.kr 으로 문의 주시거나, 웹 전용 고객지원 페이지https://kr.battle.net/support/ko/ticket/status 으로 문의해 주시기 바랍니다.
아울러, 본 사안에 관한 추가적인 정보는 블리자드의 홈페이지(http://www.blizzard.com/SecurityUpdate)에서도 안내되어 있습니다.
이번 일로 여러분께 심려를 끼쳐드린 점에 블리자드 엔터테인먼트는 진심으로 사과 드립니다. 블리자드는 여러분 모두의 개인정보에 대한 보안을 매우 중요하게 생각하고 있으며, 향후 이런 일이 일어나지 않도록 최선을 다하겠습니다.
감사합니다
블리자드 엔터테인먼트 드림

다행히 한국 계정의 경우 메일 주소 이외의 부분은 유출되지 않았다고 한다. 단 북미 배틀넷 계정의 경우, 본인확인 질문에 대한 답변, 모바일 인증기 및 Dial-in 인증기와 관련된 정보가 유출되었다고 하니 북미 계정 보유자는 확인이 필요할 것으로 보인다. 유출 규모는 한국 약 40만, 전 세계적으로는 약 1600만 명 규모로 추정.

그리고 저 사건 발생 직후 모 유저가 위의 전용 상담메일 링크로 뭐라저라고 작성하면서 끝에 -블리자드를 사랑하는(?) 유저 드림 사랑하기는 뭘 사랑해 라고 쳐서 보냈더니 이런 답변이 돌아왔다.

안녕하세요 블리자드 고객지원팀 입니다.

먼저 보안 관련 문제가 발생되어 블리자드 게임을 이용해 주시는 고객님들께 걱정을 끼쳐드린 점 먼저 진심으로 사과 및 양해를 구할 따름입니다.

앞서 전달해 드린 내용처럼 8월 4일(토요일) 한국 배틀넷 계정을 보유한 국내 유저의 경우, 이메일 주소는 유출이 되었지만, 실명, 비밀번호 및 주민등록번호를 포함한 >모든 계정 정보에 대해서는 접근 또는 유출 사실이 발견되지 않았습니다.

개인에게 중요한 결제 정보도 외부에서 접근 또는 유출되지 않은 것으로 현재까지 확인 되었습니다. 블리자드는 허가 받지 않은 외부 접속을 확인하게 된 직후 외부 접근을 차단하고, 즉시 경찰에 수사를 의뢰하는 등, 신속한 조치를 취하였습니다. 지금도 지속적으로 경찰 및 보안 전문가들과 함께 협력하여 조사를 진행 중입니다.

참고로, 블리자드 엔터테인먼트에서 발송되는 이메일은 절대로 여러분의 비밀번호를 물어보지 않습니다. 여러분에게 비밀번호나 로그인 정보를 물어보는 이메일은
피싱 이메일이니 주의해주시기 바랍니다. 이번 보안 이슈에 대해서 궁금하신 부분이 있다면 아래의 링크를 참고 바랍니다.
- http://kr.battle.net/support/ko/article/important-security-update-faq [이메일 주소 유출 관련 FAQ]

FAQ에 등록된 내용 이외의 다른 궁금하신 내용이 있으실 경우, 아래의 페이지를 통하여 문의 접수를 해주시길 부탁 드리겠습니다.
- https://kr.battle.net/support/ko/ticket/status [고객지원 문의 접수 페이지]

로그인이 어려우실 경우, 아래 페이지를 통해서 확인이 가능하십니다.
- https://kr.battle.net/account/support/password-reset.html [비밀번호 변경 페이지]

이러한 일이 일어나서 진심으로 죄송하다는 말씀을 다시 한번 강조하고 싶습니다. 블리자드는 여러분 모두의 개인정보에 대한 보안을 매우 중요하게 생각하고 있으며, 향후 이런 일이 일어나지 않도록 최선을 다하겠습니다.
감사합니다.

이로써 블리자드도 개인정보가 유출된 회사 목록에 합류하게 되었다

2.2.4 2013년

2.2.4.1 2013년 2월 액토즈소프트

2013년 02월 12일 확산성 밀리언 아서의 게임 아이디와 비밀번호 변경 신청을 받아 이를 변경한 뒤, 변경된 내역이 적힌 이메일을 당사자가 아닌 제 3자에게 무작위로 발송하는 사고를 일으켰다. 다행히 해당 게임은 특성상 아이디와 비밀번호 이외에는 별다른 개인정보가 없기는 하지만 문제는 인터넷에서 비슷한 아이디와 비밀번호를 쓰는 사람이 많다는 것. 사건 당일 총 5명의 피해 사례가 확인되었으며 이후 사건의 경과는 추가바람.

2.2.4.2 2013년 10월 어도비

현지시간으로 2013년 10월 3일, 신원불명의 해커들이 자사 전산망에 침투해 고객 ID, 암호, 실명, 암호화된 신용카드·현금카드 정보 등을 빼갔다. 암호화되지 않은 신용카드·현금카드 번호가 유출되지는 않았고 하며, 어도비는 미 수사 당국에 사건을 신고하고 피해 고객에게 해킹 사실을 통지했다고 밝혔다. 또한 금융기관에도 고객의 금전 피해를 막아줄 것을 요청했다고 회사는 덧붙였다. 또한 개인정보와는 별도로 PDF문서 프로그램인 아크로뱃과 소프트웨어 개발도구인 콜드퓨전 등 주력 제품의 소스코드(설계도)도 해킹당했다고 한다.
#

2.2.5 2014년

2.2.5.1 2014년 1월 국민카드, NH농협카드, 롯데카드

역대 최대 규모의 유출 사건. 중복 및 사망자 포함 약 1억명분의 개인정보가 유출되었다고 한다. 파장이 너무 크나큰 나머지 자세한 사항은 카드사 개인정보 유출사건항목 참고.

2.2.5.2 2014년 1월 네이버

2014년 1월, 네이버 가입자 20만명의 아이디, 비밀번호, 주민등록번호가 중국 해커에 의해 빠져나갔다. 카드사 유출사건에 비하면 이슈가 적었지만 그래도 논란이 있었다. 여담으로 기사 제목에 처음에는 네이버라고 되어 있었지만 어느 순간 수정되었다. 원본 기사, 수정된 기사

2.2.5.3 2014년 3월 KT, 티몬, 올레뮤직

해킹으로 인하여 1년에 걸쳐 1200만명의 개인정보가 유출되었다고 한다. 심지어 KT의 개인정보 유출은 이번이 2번째다. KT 홈페이지 개인정보 유출 사건 참조.

3월 7일에는 티몬에서 115만명의 개인정보가 2011년에 유출되었던 사실이 밝혀졌다. 정말 3년 동안 모르고 있었던 것인지 경찰에게 통보받기 전까진 인지하지 못한 듯 하다. 일단 수사를 하고 있다고 한다.

3월 8일 KT를 해킹한 피의자 김 모 씨가 올레닷컴에 앞서 KT의 음원 판매 사이트인 올레뮤직도 해킹한 것으로 추가 확인됐다. 경찰은 김 씨가 지난해 2월부터 7월까지 올레뮤직을 해킹해 회원 이름과 주민번호, 휴대전화 번호 등 50만 명의 개인정보를 빼내 텔레마케터에게 팔았다는 진술을 확보했으며 이에 대해 올레뮤직은 다음과 같은 사과문을 공지하고 사건을 조사중에 있다.

올레뮤직에서 공지드립니다.

현 언론상에 보도된 개인정보 관련 내용에 대해서 관계 기관을 통해 사건 진위 여부 등 현황 파악 중이며 올레뮤직 내부적으로 보안시스템 정밀 진단을 수행 중입니다.
이후 관련내용이 확인되는 대로 신속히 올레뮤직 홈페이지를 통해 고객 여러분께 알려드리도록 하겠습니다.
감사합니다.#

2.2.5.4 2014년 3월 SKT, LG U+

기사
[1]

위의 사건에 이어 LG U+와 SKT에서도 1230만 건의 개인정보가 유출된 것이 확인되었다. 정확히는 개인정보 판매업자를 구속했는데 자신이 컴퓨터 파일로 보관중이던 개인정보에서 각종 외에 금융기관, 여행사 및 인터넷 쇼핑몰에서 빼돌린 개인정보가 존재하는것이 확인되었다. 참고로 위의 유출사건과는 별개로 KT가 여기에도 포함된다

위의 KT 개인정보 유출사고 사건이 터진 직후에 터져서 묻어가는건지 신문에 나온 나름 큼지막한 유출임에도 별로 유명하지는 않다.
파일:Attachment/skt-personal-info.jpg
참고로 KT 개인정보 유출 당시 트위터에서 SKT가 자신들은 정보 보관을 안전히 한다고 했다가 이 사건이 터진 후 아닌게 들통나 큰 망신을 당했다.

2.2.5.5 2014년 3월 국민카드, 농협카드, 신한카드, 시티카드

11일 POS단말기 해킹을 통해 총 10만여명의 개인정보가 유출되었다. 국민카드랑, 농협카드는 더 이상 유출안되게 조치를 취한다고 하지 않았나...~ 이미 많은 사람들이 포기 상태(?)라 크게 이슈가 되지는 않는 것같다. 국민카드와 농협카드는 전의 사례가 있어서 빠르게 인터넷에서 유출 여부를 확인할 수 있게 해주었지만, 정작 피해 규모가 가장 큰 신한카드는 홈페이지에 공지조차 없다.(14.4.11기준)
[2]

2.2.5.6 2014년 4월 하트블리드 사태

누구나 의존하고 있던 SSL 보안 라이브러리인 OpenSSL의 치명적 결함이 발견된 사건. 다만 DB 같은 것을 통째로 털린 사건은 아니고 누가 책임질 만한 사건도 아니라 본 항목에 들어오기 애매하긴 하나, 개인정보 유출 위험성을 포함한 것은 사실인데다가 일단 규모 자체는 인류 최대이다.

2.2.5.7 2014년 4월 천재교육

그러고보니 천재교육 문서가 없네
천재교육 홈페이지의 회원정보가 유출되었다. 발생 일시는 2011년 6월경이라고 밝혔으며 개인정보 보호법 시행 전이라 모조리 이름, 계정 정보를 비롯해 주민번호, 상세 주소를 포함한 모든 정보가 유출되었다. 이젠 놀랍지도 않다

2.2.5.8 2014년 4월 스킨푸드

4월 16일 유출됐으며, 2010년 10월 8일 이전에 홈페이지에서 온라인 회원으로 가입한 고객들의 개인정보로 이름, 주민등록번호, 전화번호, 휴대폰번호, 주소, 이메일, 홈페이지 아이디, 비밀번호, 가입일 등이다. 매장에서 회원으로 직접 가입한 고객들의 개인정보는 포함되지 않았다고 한다.
#

2.2.5.9 2014년 5월 서울시 공공서비스 예약 홈페이지

동시 접속자의 증가로 인해 시스템에 오류가 발생하여 다른 사람의 개인정보가 섞여버렸다고 한다.
#

2.2.5.10 2014년 5월 토니모리

2일 해킹을 당했다. 총 50만명의 온라인 회원의 개인정보가 유출됐다고 하며, 유출된 정보는 고객 아이디와 이름, 휴대전화 번호, 비밀번호, 이메일 등이며, 오프라인 매장에서 관리하는 고객 정보는 유출되지 않았다고 한다.
#

2.2.5.11 2014년 5월 이베이

2014년 5월 21일 해킹 피해를 확인했으며, 유출당한 정보는 비밀번호와 이메일 주소, 전화번호, 그리고 생년월일이다. 해킹 추정 날짜는 2~3월 경이라고 이베이는 예측하고 있다.
#

2.2.5.12 2014년 6월 샵메일

2014년 6월 24일 공인인증서에 있는 개인정보를 샵메일로 이동시키는 과정에서 암호화가 되지 않아 포털 사이트에 노출되는 사고가 발생했다.#

2.2.5.13 2014년 7월 아프리카TV

2002년 12월 17일 이전에 가입한 회원들의 정보가 일부 유출됐다고 하며, 유출된 정보는 아이디, 이름, 암호화된 비밀번호, 생년월일, 이메일주소, 휴대폰 번호, 전화 번호등이라고 한다.#

2.2.5.14 2014년 7월 능률교육

2011년 3월로 추정되며, 104만 8천 576건의 개인정보가 유출된 것으로 추정하고 있다. 유출된 정보는 아이디, 패스워드, 주민등록번호, 이메일, 휴대폰 번호라고 한다.#

2.2.5.15 2014년 8월~9월 아이클라우드

서구 넷상에는 패프닝이라는 이름으로 알려져 있으며 연예인들 쪽 사생활이 해킹당한 사건이다. Find my iPhone의 취약점으로, 틀린 비밀번호를 무한히 입력해도 차단을 안해서 Brute force 공격이 가능했다.

2.2.6 2015년

2.2.6.1 2015년 3월 아이핀

2월 28일부터 3월 2일 오전까지 공격을 받았으며, 75만 건의 아이핀이 부정 발급됐다. 더 심각한 것은 주민번호 도용으로 아이핀이 부정 발급된 것이 아니라, 시스템 자체가 공격을 받아서 아이핀이 부정 발급됐다는 것이다.#

2.2.6.2 2015년 9월 뽐뿌
2015년 9월 11일 오후 3시 경, 뽐뿌 내 자유게시판을 시작으로 아이디와 비밀번호가 털린 것 같다는 개인정보 해킹 소문이 돌더니 밤 10시경 뽐뿌 관리자가 공식적으로 회원 개인정보가 해킹 됐다는 사실이 밝혀졌다. 무려 190만 회원의 정보가 해킹으로 누출되었다. 뽐뿌 개인정보 해킹 사건 참조.
  1. 여담으로 해외 금융기관의 경우 이런 일이 생기면 자동으로 카드를 재발급한다.
  2. 이미 기업의 함정카드에 걸려버린 걸지도 모른다. 하지만 눈치 빠른 사람이라면 생각해봐도 알수 있듯이 알고도 당할 수 밖에 없는데 설사 기업이 잘 관리를 잘한다는거에 의심을 가져도 '동의한다'라는 버튼을 누를수 밖에 없다. 왜냐고? 동의하지 않으면 아예 사용할수 없으니 말이다......