🗓️ 발생 시점

202099
(네오플이 공식 홈페이지를 통해 사건 내용 조치 결과를 공개한 날짜)

🏢 사건 주체

  • 회사명:네오플 (NEXON자회사, 던전앤파이터 개발사)
  • 네오플 소속 운영 담당자(내부 직원)

📌 사건 개요

  • 네오플 소속 직원이 운영 권한(GM 권한)악용하여 게임 재화를 비정상적으로 생성 유통한 사실적발됨.
  • 내부 감사 결과, 해당 직원이 재화 생성 이동 기록을 위장하며 사적 이득을 취한 정황드러남.
  • 해당 재화는 일부 일반 유저 계정과도 거래되어, 게임 경제에 영향을 가능성도 확인됨.

🛠 조치 사항

🚫 직원 해당 직원은 즉시 퇴사 처리 형사 고발 조치
🔍 기술 모든 이상거래에 대해 게임 로그 추적 회수 조치
🔒 시스템 운영 권한 사용 이력 게임 관리자 기능 전면 점검
📢 대외 202099공식 홈페이지 공지문으로 유저들에게 사건 설명 사과문 게시
 

🔍 횡령 방식 상세

  • 내부 직원이 운영 권한을 이용해 게임 고가 아이템 또는 재화를 비정상적으로 생성
  • 해당 자산을 자신이 소유하거나 연계된 일반 계정으로 이관
  • 일부는 경매장 유저 거래를 통해 실제 유저에게 판매되거나 유통
  • 네오플은 계정들과 해당 거래까지 모두 조사하고 재화 회수 진행

🧠 문제점 구조적 취약성

운영 권한 통제 부재 GM 권한 사용에 대한 실시간 감시 시스템 부족
이중 감시 구조 부재 1단독 접근이 가능한 운영툴 구조
거래 추적 어려움 횡령 재화가 2거래를 통해 일반 유저에 전파경우 추적 어려움
게임 신뢰도 하락 유저들이 게임 경제 시스템 보상에 대해 불신 강화
 

📣 유저 반응 (커뮤니티 요약)

  • 운영자가 게임을 턴다니 충격”, “게임 경제 자체를 흔든 사건
  • 다른 게임에서도 비슷한 있는 아니냐는 의심
  • 일부 유저는 “신뢰 상실로 인해 탈던(게임 접기)선언
  • 네오플의 실명 고발 조치사과문 공개는 "늦었지만 적절했다"평가도 존재

📜 공식 사과문 핵심 요약 (2020.09.09)

게임의 공정성과 신뢰를 훼손하는 중대한 사안으로 판단하였으며, 해당 직원은 이미 퇴사 처리하였고 형사 고발을 포함한 강력한 법적 대응을 진행하고 있습니다. 향후 유사한 일이 발생하지 않도록 운영 권한 사용에 대한 전면적인 점검 시스템을 강화하겠습니다.”

📋 최종 요약

발생일 202099일 (공식 공지일)
회사 네오플 (넥슨의 자회사, 개발 담당)
사건 개요 내부 운영자가 GM 권한으로 재화를 생성해 횡령
조치 내용 퇴사 고발, 로그 추적 자산 회수, 운영 권한 재정비
유저 반응 배신감, 게임 불신, 시스템 개선 요구
본질 내부자에 의한 보안·도덕적 해이(Insider Threat) 사건

🎯 생성 거래된 주요 재화 유형 (공식 발표 + 커뮤니티 추정 기반)

골드 (게임 화폐) 가장 기본적인 자산, 직접 생성 또는 아이템 판매로 획득
고급 장비 아이템 경매장에서 고가 거래가 가능한 에픽/신화 등급 아이템
강화권 / 재련권 현금성 아이템으로서, 유저 프리미엄 거래 대상
보조 아이템 (큐브, 카드 등) 무기 강화 캐릭터 성능 개선에 사용되는 고가 아이템
 

정확한 수량은 네오플이 공개하지 않았으나, 피해 회수 과정에서 수천만 골드 규모의 일반 유저 거래 추적있었다고 보고됨 (당시 유저 커뮤니티 인벤, 디씨 다수 증언).

📊 경제 시스템에 미친 영향

경매장 물가 왜곡 내부자가 생성한 고급 아이템이 시장에 공급되며 가격 일시 하락 발생
희소성 붕괴 한정 수량의 아이템이 운영자 계정에서 등장 → 신뢰도 급락
유저 신뢰 하락 거래한 상대가 혹시 운영자였던 아닐까?”라는 심리적 불안 확산
피해 유저 자산 회수 일부 거래한 유저 계정에 대해 아이템 회수 조치있었음 (불만 유발)

🇰🇷  국내 유사한 사례

🔹 [2021] 리니지M 운영자 사적 아이템 생성 사건 (엔씨소프트)

  • 내용: 운영자가 내부 툴을 사용해 아이템을 비정상적으로 생성하여, 지인에게 제공
  • 결과: 내부자 해고 사법 처리, 게임 경제 전면 점검
  • 특이점: 유저 금전거래 연계로 사설 현금거래까지 파장

🔹 [2015] 온라인 운영자 계정 판매 사건 (웹젠)

  • 내용: 운영 권한을 갖고 있는 개발자가 GM 계정을 받고 외부인에게 넘김
  • 결과: 계정은 아이템 생성용으로 악용 → 시장 붕괴 수준의 인플레이션 유발
  • 처벌: 피의자 실형 선고

🌍 해외 유사한 사례

🔹 [2012] EVE Online 개발자 사적 아이템 제공 사건 (CCP Games, 아이슬란드)

  • 내용: 명의 개발자가 특정 유저 집단(길드)고급 함선과 자원 제공
  • 결과: 게임 커뮤니티 대혼란 → CCP공식 사과 운영진 전원 계정 모니터링 체계 구축
  • 특이점: 사건 이후 유저 대표가 운영진 감시하는 CSM 제도’ 생김

🔹 [2005] 블리자드 GM 아이템 남용 사건 (WoW 미국 서버)

    • 내용: GM 계정이 자신의 캐릭터에게 아이템/경험치 부여, PvP 랭킹 조작
    • 결과: 관련 GM 전원 해고, 블리자드는 GM 로그 투명화 정책 시행
    • 영향: 이후 게임업계 전반에 GM 권한 이력 자동 저장’ 문화 도입 계기

대한민국 기준 내부통제 강화 절차 예시

 

1️⃣ 접근 권한 통제

최소 권한 원칙 업무에 필요한 최소한의 권한만 부여 (Role-Based Access Control: RBAC)
권한 승인 절차 모든 권한 부여 요청은 보안관리자 부서장의 이중 승인 필요
정기 권한 검토 분기 1이상 계정 권한 리뷰 불필요 권한 회수
일회성/임시 권한 관리 고위험 작업 일시적 권한 발급 → 작업 자동 회수
 

2️⃣ 행위 감사 로그 관리

행위 로그 수집 관리자 권한 사용 모든 명령 결과 로그 자동 기록 (예: 아이템 생성, 유저 정보 조회 등)
실시간 이상 행위 탐지 일반 행위 기준에서 벗어나는 행위를 자동 탐지 (예: 야간 시간대 비정상 거래)
로그 위·변조 방지 로그는 WORM 저장소 또는 SIEM 연동 저장소보관 (삭제 불가 방식)
로그 보관 기간 최소 6개월~1이상 보관 (ISMS 기준)
3️⃣ 이중 검증 및 승인 체계
고위험 기능 실행 승인 절차 예: 아이템 지급, 유저 밴, 재화 생성 → 사전 관리자 승인 필요
작업자-승인자 분리 기능 실행자와 승인자는 반드시 별도 계정/부서분리
21감시 원칙 적용 민감 작업은 상호 모니터링 환경(화면 캡처 포함) 하에 수행
 

4️⃣ 내부자 보안 교육 서약

정기 보안 교육 1~2내부자 보안 권한 남용 사고 사례 교육 필수
서약서 징구 운영자는 정보보호 형사 책임 관련 서약서 작성 의무화
퇴사자 권한 즉시 회수 퇴사 즉시 계정 폐기 모든 접근 권한 차단
 

5️⃣ 운영 도구 통제 접근 기록화

운영툴 접근 통제 운영툴은 사내망 또는 VPN통한 접근만 허용, MFA 필수
사용 내역 기록 실행 결과 로그를 사용자 계정별로 추적 가능하도록 설계
스크립트 실행 제한 직접 명령어 입력 가능 시스템 → 사전 등록된 템플릿 기반 실행 방식 전환
 

6️⃣ 내부자 사고 대응 체계

위반 발생 자동 알림 이상행위 발생 보안팀/감사팀에 즉시 알림 전달
디지털 포렌식 체계 구축 사고 발생 시를 대비한 사내 포렌식 분석 증거 보존 체계 확보
사건 보고 체계 정립 의심 정황 발생 사내 익명제보 외부 기관 신고 루트 확보
 

📚 참고 가이드라인

  • ISMS-P 인증 기준 (KISA): 내부자 위협 시스템 접근통제 요구사항 포함
  • 국가정보원 ‘정보시스템 운영보안 지침’: 공공기관 권한 관리 절차 표준
  • NCSC Korea 권한분리 가이드라인: 관리자 권한 분리·이중 검증 원칙
  • 금융보안원 내부통제 가이드: 고위험 거래에 대한 승인 로그요건 포함

던전앤파이터 직원 권한 남용 논란 - 나무위키

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 사고' 카테고리의 다른 글

2025.5.15., [SKT 해킹 사태] [사람과 보안] SKT 사건, 단순 사고인가 북한 ‘사이버 침투전’인가  (0) 2025.05.16
2025.5.14., 최수진 의원 “디올 해킹 사고 KISA에 미신고, 과태료 처벌 대상”  (0) 2025.05.15
2025.5.14., 디올 한국 고객 정보 유출…KISA에 신고 안해  (0) 2025.05.15
2025.4.30., 농진청 "외부 용역업체 저장장치 해킹, 인지 즉시 신고"  (0) 2025.05.13
2025.5.11., [SKT 해킹 사태] 유심 재설정 12일 도입..유심 교체 동일 효과  (0) 2025.05.12

🧨 [요약] SKT 유심 정보 유출 사건, 북한 해커 연루 가능성 제기

🔐 1. 사건의 핵심 쟁점

  • **SK텔레콤의 핵심 서버(HSS)**해킹 당한 정황이 드러남.
  • 경찰·정부 공동 조사 중이지만 해킹 주체는 아직 특정되지 않음.
  • HSS 서버는 국민의 위치, 통화기록, 인증 정보 포함된 민감한 인프라.
  • 때문에 “단순 개인정보 유출을 넘은 국가 안보 위협 수준이라는 분석도 존재.

🕵️‍♂️ 2. 북한 해커 개입 가능성 (정황 수준)

  • 북한 개입이 확정되진 않았으나, 다음과 같은 근거로 의심이 제기됨:
    1. HSS 해킹은 고난도 공격일반 해커보단 국가 연계 공격자 추정
    2. 북한은 과거 한국수력원자력, 국방부, 비트코인 거래소 해킹 시도 전력 있음
    3. 생활 정보수집하려는 목적 가능성 제기 (통화·인증·위치 기반 정보 활용)
    4. 최근 북한 연계 해킹 활동과 불법 도박사이트 연계 사례 등도 잇달아 드러남

🧭 3. 정부기관 반응

국정원(NIS)

  • SKT민간영역이라 공식 조사는 하지 않고, 안전 권고만 시행”
  • 북한 연루 정황이 구체적으로 드러나면 관련 부서에서 확인 예정”

경찰청

  • 피해 서버 악성코드 포렌식 분석
  • IP 추적 통해 공격자 파악 시도

💣 4. 북한 연루 의심을 키운 최근 정황

불법 도박사이트 50남성이 북한 해커와 1,000이상 접촉 → 도박사이트 운영 → 북한으로 수익금 일부 송금 정황
CJ올리브네트웍스 인증서 유출 북한발 악성코드에서 CJ디지털 서명 발견됨
위장 취업 정황 북한 IT 인력이 중국에서 조선족 신분으로 한국 SI 업체 외주 참여, 테스트 서버 접근·백도어 심기 사례
암호화폐 해킹 20252월, 북한 라자루스가 이더리움 2.1조원 탈취, 그중 4,400현금화됨 (출처: BBC)
국무부 대응 북한 IT인력, 돈세탁, 위장취업 관련 500달러 현상금 수배
 

🧩 5. 사건이 안보 이슈로 확장될 가능성

  • 이번 사건을 **단순 정보 유출이 아니라 "사이버 테러"**보는 시각도 존재
  • 과거 한동훈 당시 대선 후보는 “국가 사이버 방어 체계 필요라고 공개 발언

요지: 북한의 개입이 확인되면, SKT 사건은 단순한 기업 침해가 아닌
국가 안보 이슈, 대북 사이버 테러 대응 문제로 확장될 있음

1️⃣ SKT대응 미비 지점 분석

구분 내용 보안상 문제점
핵심 서버(HSS) 단일화 구조 HSS 하나에 다수 가입자 인증·정책·식별 정보가 집중됨 단일 실패점(SPoF), 전체망 위험에 취약
선제적 유심보호서비스 미적용 사고 전까지 유심보호서비스는 선택적 서비스였음 전체 고객 보호 불가. 사후 대응에 치우침
공지 피해자 통지 지연 유출 사실 인지 공식 안내까지 수일 이상 소요 정보주체의 권리 보호 미흡, 투명성 부족
초기 보안 태세 부재 침해 징후 감지 적극적 격리·조치 미흡 HSS처럼 민감한 시스템에는 Zero Trust 모델 도입 필요
사고 인지 신고 지연 418오후 69이상 징후 감지 → 420오후 446분에 KISA 신고 개인정보보호법상 24시간 이내 신고 의무 위반. 보고 체계 지연 가능성
 

🔥 총평: 사고 전/대응 모두 “기술적/관리적 통제”부재하거나 지연,
특히 "탐지 → 분석 → 보고"내부 체계 정비가 시급함.

2️⃣ 북한의 과거 해킹 전술 흐름 분석

시기 공격 대상 주요 수법 관련 조직
2016~2017 국내 비트코인 거래소 클라이언트 백도어, C2 서버 통한 탈취 라자루스
2020~2024 중소 SW기업, 병원, 연구기관 악성 HWP, 원격지원 위장, 관리자 계정 탈취 안다리엘, 블루노로프
2023~2025 기업용 이메일서버, 인증서 발급 시스템 디지털 서명 탈취 유포, 크리덴셜 재사용 공격 김수키
지속적 흐름 SI 외주, 중국 거점 IT 인력 위장 취업 → 내부망 접근 → 정보 유출 미상 다수 APT
2014 한국수력원자력 피싱 메일 통한 내부망 침입 → 설계도면 유출 김수키
 

⚠️ 전술적 특징

  • APT 수준 고도화: 초기 피싱 → 내부망 lateral movement → 백도어 삽입 → 탈취 은폐
  • 공격 흔적 제거매우 능숙함
  • 디지털 서명, 인증서, 신뢰 사슬을 이용한 유포집중

🎯 SKT HSS 해킹과의 연관성?
북한의 기존 해킹 방식과 기술 수준, 침투 경로, 은폐 기법이 상당히 유사함 → 정황상 유력한 배후 하나로 추정 가능

3️⃣ HSS(Home Subscriber Server) 보안 강화 방안

HSS이동통신사의 심장부같은 존재야. 여길 강화하지 않으면, 통신 인프라 전체가 무력화될 있어.

🔐 기술적 강화

접근통제 내부 운영자 접근 MFA(다중 인증), 시간제한, 명령어 감사 적용
Zero Trust Architecture HSS접근하는 모든 트래픽에 대해 무조건 인증 검사 수행
네트워크 분리 HSS외부 시스템 데이터 흐름을 단방향 또는 Proxy 서버 통해 제어
Signaling Firewall 도입 HSS 앞단에 Diameter/S6a/S6d 트래픽 제어 가능한 신호망 방화벽 도입
포렌식 로그 보호 실시간 로그 수집 → 외부에 무결성 보장된 별도 저장소로 전송
 

🛡️ 운영·관리 강화

Security Operation Center(SOC) HSS 전용 실시간 모니터링 이상징후 탐지 전담 운영
Red Team / Purple Team 훈련 실제 침투 시나리오 기반 실전 대응 시뮬레이션 반복 훈련
업데이트 검증 체계 HSS OS/패키지 업데이트 사전 테스트 단계적 적용
고립 실행 환경 도입 신규 접근 별도 가상환경에서 샌드박싱 허용

🔚 정리 요약

SKT문제점 탐지/신고 지연, 대응 체계 미흡, 사전 예방책 부재
북한 해킹 흐름 위장·침투·탈취·은폐의 고도화된 APT 전략 → SKT 사건과 유사 정황
HSS 보안 강화 핵심 기술/운영 양면에서 “Zero Trust” + “이중 방어선” 체계 필요
 
저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 사고' 카테고리의 다른 글

2020.9.9., 던전앤파이터 직원 권한 남용 논란  (0) 2025.05.16
2025.5.14., 최수진 의원 “디올 해킹 사고 KISA에 미신고, 과태료 처벌 대상”  (0) 2025.05.15
2025.5.14., 디올 한국 고객 정보 유출…KISA에 신고 안해  (0) 2025.05.15
2025.4.30., 농진청 "외부 용역업체 저장장치 해킹, 인지 즉시 신고"  (0) 2025.05.13
2025.5.11., [SKT 해킹 사태] 유심 재설정 12일 도입..유심 교체 동일 효과  (0) 2025.05.12

KISA에 “적극적 진상 파악, 침해사고 신고 등 대응 절차 홍보 강화해야” 촉구

[보안뉴스 강현주 기자] 최근 명품 브랜드 디올이 개인정보 유출 사고를 당하고도 관련 기관 신고 의무를 제대로 하지 않았다는 지적이 나왔다.

최수진 국민의힘 의원은 14일 “디올이 고객 정보 유출 사실을 한국인터넷진흥원(KISA)에 신고하지 않았다”며 “이는 침해사고 발생 사실을 즉시 신고할 것을 규정한 정보통신법 위반으로 3000만원 이하 과태료 처벌 대상”이라고 주장했다.

[자료: 연합]


최수진 의원실에 따르면, 디올은 이번 해킹 발생 후 개인정보보호위원회 신고는 마쳤지만 KISA에는 아무 조처를 하지 않았다.

디올은 13일 홈페이지 고지를 통해 “외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 지난 7일 발견했다. 영향을 받은 데이터에는 고객의 연락처 정보와 구매·선호 데이터가 포함된다”며 해킹 사실을 밝힌 바 있다.

이번 사건은 디올 본사에서 공격이 발생해 국내 이용자들의 정보가 누출된 사고다. 디올 본사는 해외 법인으로 국내 법인인 디올코리아와는 다르다. 하지만 현행법상 국내 이용자 피해가 발생하면 KISA 신고 대상에 해당한다.

정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 그 사실을 과학기술정보통신부장관이나 KISA에 즉시 신고해야 한다. 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시하고 있다. 해킹이 발생했는데도 신고하지 않을 경우 3000만원 이하 과태료를 물 수 있다.

최 의원은 앞서 SKT에 대해서도 유심 해킹 관련해 늦장 신고를 했다고 지적한 바 있다. 정보통신망법에 따르면 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시와 원인, 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 하지만 SKT는 해킹 이틀 후에야 신고를 했다는 게 최 의원측 설명이다.

최 의원은 “KISA는 신고 업무와 관련해 업계에 정책 홍보를 강화할 필요가 있다”며 “해킹 사건이 빈번해지는 가운데 KISA의 적극적 진상 파악과 협력을 통해 정부가 적극적으로 문제 해결에 나서야 한다”고 밝혔다.

한편 KISA는 SKT 침해 사고 신고 관련 “일부 혼선이 있었다”며 “신고 과정에서의 혼선과 오류, 설명 부족 등이 재발하지 않도록 보완하고, 정보보호·디지털 전문기관으로서 신속한 대응과 투명한 정보 공유를 약속한다”고 입장을 밝힌 바 있다.

https://www.boannews.com/media/view.asp?idx=137263

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 사고' 카테고리의 다른 글

2020.9.9., 던전앤파이터 직원 권한 남용 논란  (0) 2025.05.16
2025.5.15., [SKT 해킹 사태] [사람과 보안] SKT 사건, 단순 사고인가 북한 ‘사이버 침투전’인가  (0) 2025.05.16
2025.5.14., 디올 한국 고객 정보 유출…KISA에 신고 안해  (0) 2025.05.15
2025.4.30., 농진청 "외부 용역업체 저장장치 해킹, 인지 즉시 신고"  (0) 2025.05.13
2025.5.11., [SKT 해킹 사태] 유심 재설정 12일 도입..유심 교체 동일 효과  (0) 2025.05.12

📱 iOS 18.5 정식 출시 (2025년 5월 12일)

Apple은 2025년 5월 12일에 iOS 18.5를 정식 출시하였습니다. 주요 변경 사항은 다음과 같습니다:

  • iPhone 13 시리즈의 위성 메시지 지원: iPhone 13, 13 mini, 13 Pro, 13 Pro Max에서 통신사 기반의 위성 메시지 기능이 지원되어, Wi-Fi나 셀룰러 연결이 없는 환경에서도 통신이 가능합니다. 현재 미국 T-Mobile의 Starlink 기반 서비스가 무료로 제공되고 있습니다.
  • Pride Harmony 배경화면 추가: 2025년 프라이드 컬렉션의 일환으로, 잠금 화면에 새로운 Pride Harmony 배경화면이 추가되었습니다.
  • 스크린 타임 패스코드 알림: 자녀가 스크린 타임 패스코드를 사용할 경우, 부모에게 알림이 전송되어 자녀의 기기 사용을 더욱 효과적으로 관리할 수 있습니다.
  • Apple TV 앱에서의 iPhone 결제 지원: 타사 기기에서 Apple TV 앱을 통해 콘텐츠를 구매할 때, iPhone을 사용하여 결제할 수 있는 기능이 추가되었습니다.
  • Mail 앱 개선: 연락처 사진 표시 여부를 설정할 수 있는 토글이 추가되었으며, "모든 메일" 보기 탭이 더욱 명확하게 표시됩니다.
  • AppleCare 정보 표시 개선: 설정 앱에서 AppleCare 보증 정보를 더욱 쉽게 확인할 수 있도록 인터페이스가 개선되었습니다.
  • 보안 취약점 패치: CoreAudio, CoreGraphics, FaceTime, WebKit 등에서 발견된 보안 취약점이 수정되었습니다.

🔭 iOS 19 개발자 베타 예정 (2025년 6월 9일)

Apple은 2025년 6월 9일에 개최되는 WWDC 2025에서 iOS 19의 개발자 베타를 공개할 예정입니다. 주요 예상 기능은 다음과 같습니다:

  • VisionOS에서 영감을 받은 디자인 변경: 유리 버튼, 플로팅 탭 바, 반투명 메뉴 등 현대적인 인터페이스 요소가 도입될 예정입니다.
  • AI 기반 Siri 개선: 화면 인식 기능이 추가되어, Siri가 더욱 스마트하고 상황에 맞는 지원을 제공할 것으로 예상됩니다.
  • 건강 앱의 AI 통합: 개인 맞춤형 코칭, 식단 추적, 전문가의 웰니스 가이드 등을 제공하는 AI 기능이 추가될 예정입니다.
  • RCS 메시징 업그레이드: iPhone과 Android 간의 커뮤니케이션을 향상시키기 위해, 메시지 편집, 전송 취소, 인라인 답장 등의 기능이 추가될 것으로 보입니다.
  • AirPods를 통한 실시간 번역: AirPods를 사용하여 실시간으로 대화를 번역하는 기능이 도입될 예정입니다.
  • 지원 기기 변경: iPhone XR, XS, XS Max는 iOS 19 지원 대상에서 제외되며, iPhone 12 mini 이상 모델에서 지원될 예정입니다.
저작자표시 비영리 변경금지 (새창열림)

프랑스 명품 브랜드 디올에서 한국 고객의 정보가 누출됐다. 해킹 사실을 인지한 건 무려 4개월 만이다. 특히 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA(한국인터넷진흥원)에는 조처를 하지 않은 것으로 알려졌다.

디올은 전날 공지를 통해 "당사는 2025년 5월 7일, 외부의 권한 없는 제3자가 당사가 보유한 일부 고객 데이터에 접근한 사실을 발견했음을 알려드린다"며 "2025년 1월 26일에 발생한 이 침해사고를 제한하기 위한 조치를 즉시 취했다"고 밝혔다.

이어 "당사는 관련 규제 당국에 이 사실을 통보했으며, 사이버 보안 전문가들과 함께 계속해서 이 사건을 조사하고 대응하고 있다"고 전했다.

14일 국회 과학기술정보방송통신위 국민의힘 최수진 의원실에 따르면, 디올은 해킹 발생과 관련해 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA에는 조처를 하지 않은 것으로 확인됐다.

이번 사건의 경우 디올 본사에서 해킹이 발생해 국내 이용자의 정보가 누출된 것이다. 디올 본사는 해외법인이고 국내 법인인 디올코리아와는 다르지만 현행법상 국내 이용자 피해가 발생하면 엄연히 KISA 신고 대상에 해당한다고 의원실은 지적했다.

정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 또 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시했다.

https://www.kdfnews.com/news/articleView.html?idxno=156286

저작자표시 비영리 변경금지 (새창열림)

'정보보안 > 사고' 카테고리의 다른 글

2025.5.15., [SKT 해킹 사태] [사람과 보안] SKT 사건, 단순 사고인가 북한 ‘사이버 침투전’인가  (0) 2025.05.16
2025.5.14., 최수진 의원 “디올 해킹 사고 KISA에 미신고, 과태료 처벌 대상”  (0) 2025.05.15
2025.4.30., 농진청 "외부 용역업체 저장장치 해킹, 인지 즉시 신고"  (0) 2025.05.13
2025.5.11., [SKT 해킹 사태] 유심 재설정 12일 도입..유심 교체 동일 효과  (0) 2025.05.12
2025.5.7., 북한 해커 그룹의 공격으로 CJ올리브네트웍스의 인증서 파일 유출  (0) 2025.05.08

티스토리툴바