2019년 개인정보 유출 및 분실 사고의 경향
도쿄 상공 리서치에 따르면, 2019년에 상장기업과 그 자회사에서 개인정보 유출 및 분실 사고를 공개한 곳은 66개사, 사고 건수는 86건, 유출된 개인정보는 총 9,031,734명분에 달했다고 합니다. 2019년에는 개인정보 1백만 건 이상이 유출된 대형 사고가 2건 발생하였고, 유통 대기업 세븐 & 아이 홀딩스가 도입한 결제 서비스 ‘7pay(세븐페이)’가 부정 이용으로 서비스 폐지에 이르렀습니다. 이로 인해 보안 대책의 중요성이 다시 한번 강조된 한 해였습니다.
타쿠파일편의 경우
오사카 가스의 100% 자회사인 오지스 총연구가 운영하던 파일 전송 서비스 ‘타쿠파일편’에서 2019년 1월 22일, 서버 내에 의심스러운 파일이 발견되어 정보 유출이 드러났습니다. 추가 조사에서 의심스러운 접근 로그도 확인되었고, 피해 방지를 위해 23일에 서비스를 중단하고 첫 보고를 발표했으며, 25일에 정보 유출이 확인되었습니다.
유출 건수는 총 481만 5399건(유료 회원 2만 2569건, 무료 회원 475만 329건, 탈퇴자 4만 2501건)이며, 유출 내용은 성명, 로그인용 이메일 주소, 로그인 비밀번호, 생년월일, 성별, 직업/업종/직종, 거주지의 도도부현명 등이었습니다. 이 유출 건수는 2014년 베네세에서 발생한 위탁 직원에 의한 고객 정보 불법 취득 사건의 개인 정보 3504만 명분에 이어 역사상 두 번째로 큰 기록입니다.
이후, 오지스 총연구에서는 보안 점검 및 강화를 진행하면서 복구를 검토하였지만, 시스템 재구축의 전망이 서지 않아, 2020년 3월 31일을 기점으로 서비스를 종료하기로 결정하였으며, 이는 2020년 1월 14일에 발표되었습니다.
‘타쿠파일편’에 등록한 이메일 주소와 로그인 비밀번호, 이와 동일한 위탁자 ID(이메일 주소), 로그인 비밀번호를 사용하여 다른 웹 서비스를 이용하고 있는 경우, 유출 정보를 획득한 제3자에 의한 해당 웹 서비스로의 불법 로그인, 즉 ‘가장’에 의한 접근이 이루어질 수도 있습니다.
토요타 모빌리티 사례
토요타 자동차의 판매 자회사인 토요타 모빌리티가 2019년 3월 21일(헤이세이 31년)에 사이버 공격을 받아, 시스템 기반을 공유하는 관련 판매 기업 총 8개사가 표적이 되었으며, 네트워크 서버에서 최대 310만 건의 개인 정보가 유출되었을 가능성이 발표되었습니다. 다행히, 신용카드 정보는 유출되지 않았다고 발표되었기 때문에, 금전적인 문제로 직접 발전할 가능성은 적을 수도 있습니다. 그러나, 차량을 구매한 고객의 정보이기 때문에, 명부 업체들 사이에서는 높은 가격으로 거래되고 있을 가능성도 있으며, 피해가 미치지 않을 것이라는 보장은 없습니다.
토요타 모빌리티는, 프라이버시 마크(P마크)를 획득하고 있음에도 불구하고, 이러한 개인 정보 유출 문제가 발생한 것으로부터, 앞으로의 보안 대책에서 중요한 선택이 요구되고 있습니다. 또한, 이번 개인 정보 유출 사건은, 그동안의 보안 대책으로는 방지할 수 없었다는 것을 증명하고 있다고도 할 수 있습니다. 프라이버시 마크(P마크)를 획득한 보안 체계보다도, 더 높은 수준의 개인 정보 보호 관리 체계를 실현할 필요가 있을 것입니다.
이와 같이, 베네세의 경우도 그랬지만, 앞으로의 개인 정보 보호 관리 체계가 충분하지 않다고 판단되는 경우, 프라이버시 마크(P마크)의 상실이 있을 수 있습니다. 프라이버시 마크(P마크)가 상실되는 경우, 신용이 상실되는 위험이 있으므로, 큰 문제가 될 수 있습니다.
「7pay(세븐페이)」의 경우
세븐 & 아이 홀딩스가 도입한 결제 서비스 ‘7pay’는 서비스 시작 다음날인 2019년 7월 2일에 위탁자로부터 ‘기억에 없는 거래가 있었다’는 문의가 있었고, 7월 3일에 회사 내 조사를 진행한 결과 부정 사용이 발견되었습니다.
즉시 신용카드나 직불카드에서의 충전을 일시 중단하고, 7월 4일부터는 서비스의 신규 등록도 일시 중단되었으며, 같은 날에는 모든 충전을 일시 중단하기로 결정되었습니다.
부정 접근에 의한 피해자 수는 808명이며 피해액은 38,615,473엔으로 발표되었고, 부정 접근의 방법은 리스트형 공격의 가능성이 높다고 판단되었습니다. 리스트형 공격은 과거에 다른 기업 등에서 인터넷에 유출된 ID와 비밀번호를 기계적으로 입력하는 방법으로, 적어도 수천만 번 시도되었으며, 로그인에 성공한 건수는 부정 사용의 피해를 입은 808건을 초과한다고 알려져 있습니다. 리스트형 계정 해킹을 막지 못한 원인으로는 여러 기기에서의 로그인에 대한 대책, 2단계 인증 등의 추가 인증 검토가 충분하지 않았던 것, 시스템 전체의 최적화를 충분히 검증하지 못했던 것 등이 지적되고 있습니다.
8월 1일, 세븐 & 아이 홀딩스는 도쿄에서 긴급 기자회견을 열고, ‘7pay’는 9월 30일 24시를 기점으로 종료한다고 발표했습니다. 서비스 폐지에 이르게 된 이유는 다음의 3가지가 제시되었습니다.
- 7pay에 대해, 충전을 포함한 모든 서비스를 재개하기 위한 철저한 대응을 완료하는 데는 상당한 기간이 필요하다고 예상되는 것
- 그 기간 동안, 서비스를 계속하려면 ‘사용(결제)만’이라는 불완전한 형태를 갖출 수밖에 없는 것
- 해당 서비스에 대해, 고객이 여전히 불안감을 가지고 있는 것
세븐 & 아이 홀딩스의 네트워크 보안 인식의 부족, 그룹 내 협력의 부재가 차례로 드러나, 이례적으로 단기간에 철수를 강요받은 사건이었으며, 유통 대기업의 실패가 정부가 주도하는 현금 없는 결제에 대한 불안을 초래하게 되었습니다.
유니클로 사례
2019년 5월 10일, 유니클로가 운영하는 온라인 스토어 사이트에서 위탁자 본인이 아닌 제3자에 의한 불법 로그인이 발생한 것이 확인되었습니다.
4월 23일부터 5월 10일까지, 리스트형 공격 방식으로 이루어진 불법 로그인된 계정 수는 유니클로 공식 온라인 스토어와 GU 공식 온라인 스토어에 등록된 46만 1091건으로, 열람될 가능성이 있는 위탁자의 개인정보는 이름, 주소(우편번호, 시구군읍면동, 번지, 방 번호), 전화번호, 휴대전화 번호, 이메일 주소, 성별, 생년월일, 구매 이력, 마이사이즈에 등록된 이름 및 사이즈, 신용카드 정보 일부(카드 소유자 이름, 유효기간, 신용카드 번호 일부)였습니다.
불법 로그인 시도가 이루어진 통신원을 특정하여 접근을 차단하고, 그 외의 접근에 대해서도 감시를 강화하였습니다. 그러나 개인정보가 열람될 가능성이 있는 위탁자 ID에 대해서는 5월 13일에 비밀번호를 무효화하고, 비밀번호 재설정 요청을 이메일로 개별적으로 연락하였으며, 이 사건에 대해 경찰청에 신고하였습니다.
이름, 주소, 전화번호, 휴대전화 번호, 이메일 주소, 생년월일 등의 기본적인 개인정보뿐만 아니라, 구매 이력이나 마이사이즈에 등록된 이름 및 사이즈 등의 프라이버시 정보가 유출된 것이 특징적인, 불쾌하고 불안감을 주는 사례입니다.
https://monolith.law/reputation/personal-information-and-privacy-violation[ja]
神奈川현청의 경우
2019년 12월 6일(2019년), HDD(하드 디스크 드라이브)의 재판매로 인해 개인 정보를 포함한 행정 문서 등의 정보가 유출된 사실이 확인되었습니다. 이는, 푸지쯔 리스와 서버 등의 리스 계약을 맺고 있는 ‘일본의 神奈川현’이 2019년 봄에 리스하고 있는 서버에서 HDD를 제거하고, 처리를 재활용 회사에 위탁했을 때, 해당 회사의 담당자가 HDD 일부를 가져가 초기화되지 않은 상태로 야후옥션에서 재판매하였고, 이 중 9개를 구매한 IT 기업 경영자가 내용을 확인한 결과, ‘일본의 神奈川현’의 공문서로 추정되는 데이터를 발견하여 신문사에 정보를 제공하였고, 신문사가 현에 확인하여 유출이 확인된 것입니다.
6일 오전 현의 발표에 따르면, 가져간 HDD는 총 18개로, 그 중 9개는 회수 완료되었고, 나머지 9개도 이후에 회수되었습니다. 유출된 것은 개인명이나 기업명이 기재된 납세 통지서, 법인명이 기재된 세무 조사 후의 통지, 개인명이나 주소가 기재된 자동차세의 납세 기록, 기업의 제출 문서, 현 직원의 업무 기록이나 명부 등의 개인 정보를 포함한 데이터로, 가져간 HDD는 1개당 3TB의 저장 용량을 가지고 있어, 18대분으로 최대 54TB의 데이터가 유출될 가능성이 있습니다.
神奈川현에는,
- 행정 문서 등이 저장되는 파일 서버에 대해, 하드웨어 수준의 암호화에 대해 충분히 검토하지 않고, 원 데이터 그대로 저장하는 구성을 한 것
- 중요 정보가 저장되어 있는 장비를 리스 회사에 반환할 때 데이터를 모두 삭제한 후 리스 회사가 데이터 삭제 작업을 수행하도록 하고 있음에도 불구하고, 그 완료 증명서 등의 교부를 받지 않은 것
- 담당자도 파악하지 못하는 재활용 업체가 리스 장비 회수를 수행하고 있는 것
등의 초보적인 실수가 있었고, 푸지쯔 리스에는,
- 장비 폐기(재활용)에 대해, 재활용 업체에 맡겨두었던 것
- 리스 계약에는, 데이터가 완전히 삭제된 것을 나타내는 증명서를 현에 제출하도록 되어 있었지만, 증명서 발행을 재활용 업체에 요청하지 않았던 것
등의, 역시 초보적인 실수가 있었다고 할 수 있습니다. 재활용 업체에 대해서는, 논의할 필요조차 없습니다.
관련된 3개의 조직에 공통적으로 보안에 대한 위기감의 부재와 무책임한 맡겨두기 체질이 이런 엉터리 결과를 낳았다고 생각합니다.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
기타 불법 접근 사례
피해가 크고 넓은 범위에 영향을 미치는 불법 접근에 의한 사고는 매년 증가하고 있습니다. 2019년에는 도쿄 상공 리서치(Japanese Tokyo Shoko Research)가 조사를 시작한 이후 8년 동안 최다인 41건(32개사)이 발생했다고 합니다. 이는 2019년 정보 유출 및 분실 사고 86건의 거의 절반에 해당하며, 유출 및 분실 건수는 8,902,078건으로, 2019년 전체(9,031,734건)의 98.5%를 차지했습니다. 위에서 언급한 사례 외에도, 2019년에는 많은 불법 접근이 밝혀졌으며, 아래와 같은 사례 등이 있습니다.
자동차 용품 판매 회사의 경우
2월 26일, 자동차 용품을 판매하는 주식회사 하세 프로가 운영하는 온라인 쇼핑몰에서 사이트의 취약점을 악용하여 불법 접근이 발생했습니다. 가짜 결제 화면이 표시되어 위탁자가 입력한 신용카드 정보가 유출되었습니다.
「치과학서닷컴」 사례
3월 25일, 치과 전문 출판사인 ‘큐인테센스 출판사’가 운영하는 ‘치과학서닷컴’의 웹 서버에 불법 접근이 발생하여, 사이트 이용자의 개인 정보가 유출되었습니다. 신용카드 결제를 이용한 고객들에게는 보안 코드를 포함한 신용카드 정보도 유출되었으며, 그 외에도 치과 채용 사이트와 일본 국제 치과 대회 등의 이용자 개인 정보를 포함하여, 최대 2만 3000건의 개인 정보가 유출되었습니다.
「나나츠호시 갤러리」 사건
4월 12일, 규슈 여객 철도 주식회사의 크루즈 트레인 ‘나나츠호시 인 규슈’의 관련 상품 통신 판매 사이트인 ‘나나츠호시 갤러리’에서 부정 접근이 발생하여, 고객의 신용카드 정보를 포함한 개인 정보가 유출되었습니다. 신용카드 정보를 등록한 회원 3086명에게는 보안 코드도 포함되어 있을 가능성이 있으며, 카드 정보를 등록하지 않은 회원이나, 그 외 사이트를 이용한 위탁자 정보 등, 5120명에 대해서도 정보 유출의 가능성이 있다고 발표되었습니다.
설문조사 모니터 서비스 ‘안토케이트’의 경우
5월 23일, 주식회사 마케팅 애플리케이션이 운영하는 설문조사 모니터 서비스 ‘안토케이트’에서 서버의 취약점을 악용한 불법 접근이 발생했습니다. 등록 계정 770,740건의 개인 정보가 유출되었으며, 이에는 이메일 주소, 성별, 직업, 근무지, 은행 계좌 관련 정보 등이 포함되어 있었다고 합니다.
「야마다웹컴・야마다몰」의 경우
5월 29일, 야마다전기 주식회사가 운영하는 ‘야마다웹컴・야마다몰’에서 부정 접근이 발생했습니다. 결제 애플리케이션이 변조되어, 해당 기간 동안 등록된 고객 정보 최대 37,832건이 유출되었습니다.
이온카드의 경우
6월 13일, 이온크레딧서비스 주식회사의 이온카드에서 비밀번호 리스트 공격에 의한 부정 로그인이 발생했습니다. 총 1917개의 계정에서 부정 로그인이 가능한 상태였음이 확인되었고, 그 중 708개의 계정에서 실제로 부정 로그인이 발생하여, 총액 약 2천2백만 엔의 부정 이용 피해가 발생했다고 발표되었습니다. 공격자는 공식 사이트 ‘이온스퀘어’에 비밀번호 리스트 공격을 가해 위탁자 계정 정보를 부정하게 획득하였고, 공식 앱의 등록 정보 변경 기능을 이용하여 다른 연락처로 변경한 뒤, 결제 연동 기능을 통해 자금을 이용한 것으로 보입니다.
三井住友카드 ‘Vpass 앱’의 경우
8월 23일, 삼익스미토카드 주식회사는 회원 대상 스마트폰 앱 ‘Vpass 앱’에서 고객의 ID 정보 최대 16,756건이 부정 침입을 받았을 가능성이 있다고 발표했습니다. 회사가 정기적으로 실시하고 있는 모니터링 조사를 통해 부정 접근이 확인되었고, 원인을 조사한 결과, 약 500만 번의 로그인 시도 중 대부분이 해당 서비스에 등록되어 있지 않은 것으로, 패스워드 리스트형 공격으로 판단되었습니다.
미즈호 은행 ‘J-Coin Pay’의 경우
9월 4일, 미즈호 파이낸셜 그룹(미즈호 은행)은 서비스 제공을 위한 ‘J-Coin Pay’의 가맹점 관리와 관련된 테스트용 시스템이 불법 접근을 받아, J-Coin 가맹점 정보 18,469건이 유출되었다고 발표하였습니다.
「10mois WEBSHOP」의 경우
9월 19일, 유한회사 피셀의 온라인 샵 ’10mois WEBSHOP’에 불법 접근이 발생하여, 고객의 개인 정보 108,131건과 신용카드 정보 11,913건이 유출되었다고 발표하였습니다. 신용카드 정보에는 보안 코드도 포함되어 있었습니다.
京都一の傳 공식 웹사이트 사건
10월 8일, 서경절임 등으로 잘 알려진 주식회사 京都一の傳의 공식 웹사이트에 불법 접근이 발생하여 결제 폼이 변조되었습니다. 보안 코드를 포함한 신용카드 정보 18,855건, 회원 정보 및 배송 이력 등 72,738건이 유출되었습니다.
「코우신으로 쇼핑」의 경우
12월 5일, 코우신 마호빈 주식회사가 운영하는 ‘코우신으로 쇼핑’에 대해 불법 접근이 발생하였으며, 고객 정보 최대 280,520건이 유출되었을 가능성이 있다고 발표되었습니다. 불법 접근의 원인은 사이트 내의 취약점으로 보이며, 해당 회사는 12월 4일 이후로 쇼핑 사이트의 공개를 중단하고 있습니다.
전자소설 서비스 ‘노벨바’의 경우
12월 25일, 주식회사 비글리가 운영하는 전자소설 서비스 ‘노벨바’에 대해 불법 접근이 발생하였고, 등록자의 이메일 주소를 포함한 개인정보 33,715건이 유출되었습니다. 또한, 보상 프로그램에 등록되어 있던 위탁자 76명에 대해서는 계좌 정보도 유출되었을 가능성이 있어, 이차 피해의 가능성이 있습니다.
요약
정보 유출 및 손실을 방지하기 위한 적절한 대책은, 개인 정보를 다루는 모든 단체와 기업에서 중요한 과제가 되고 있습니다. 특히, 상장 기업에 비해 자금과 인적 자원이 부족한 소규모 비즈니스에서는, 유출 사고는 경영에 치명적인 손상을 입힐 수 있습니다. 보안 대책과 정보 관리 체계 구축에 대한 대응이 필수적입니다. 빅 데이터 활용 등을 배경으로, 개인 정보의 중요성은 점점 더 증가하고 있습니다. 동시에 고도화되고 교묘해지는 불법 접근 등에 대한 보안 대책과 엄격한 정보 관리는, 위험 관리의 중요한 전제가 되고 있습니다.
