🛡️ 티파니앤코 개인정보 유출 사고 개요

  • 사고 발생일: 2025년 4월 8일
  • 사고 인지일: 2025년 5월 9일
  • 유출 경로: 글로벌 고객 데이터를 관리하는 제3자 플랫폼의 무단 접근
  • 유출 정보: 고객의 이름, 주소, 전화번호, 이메일 주소, 내부 고객 ID, 구매 이력 등
  • 금융정보 유출 여부: 금융정보(예: 결제 카드 정보)는 유출되지 않음
  • 공식 공지: 티파니앤코 코리아는 웹사이트에 별도의 공지를 게시하지 않았으며, 일부 구매 이력이 있는 고객에게만 이메일로 개별 통지함 알파비즈+4X (formerly Twitter)+4Korea Joongang Daily+4Nate News+3메디컬투데이+3Nate News+3

🔍 디올과의 유사 사건 비교

디올은 2025년 1월 26일에 발생한 고객 정보 유출 사고를 5월 7일에 인지하고, 5월 10일에 한국인터넷진흥원(KISA)에 보고하였습니다. 이러한 지연된 보고는 정보통신망법상 24시간 이내 보고 의무를 위반한 것으로 지적받았습니다. 티파니앤코 역시 사고 인지 후 공식적인 웹사이트 공지가 없고, 일부 고객에게만 통지한 점에서 유사한 비판을 받고 있습니다.


⚠️ 소비자 및 보안 전문가의 우려

LVMH 그룹 산하 브랜드에서 연이어 발생한 개인정보 유출 사고는 그룹 전체의 데이터 보안 체계에 대한 신뢰를 저하시켰습니다. 특히, 여러 브랜드가 동일한 제3자 플랫폼을 통해 고객 데이터를 관리하고 있을 가능성이 제기되면서, 다른 브랜드에서도 유사한 사고가 발생할 수 있다는 우려가 커지고 있습니다.

https://www.chosun.com/economy/industry-company/2025/05/26/KVCOAUWKSFCJLDWG52OBK5CKLA/

 

[단독] 디올 이어 티파니에서도 고객 정보 유출...두 회사 모두 세계 최대 명품 그룹 LVMH 소속

단독 디올 이어 티파니에서도 고객 정보 유출...두 회사 모두 세계 최대 명품 그룹 LVMH 소속

www.chosun.com

 

🧩 1. 개요

  • 공격 대상: 국내 PC방 환경, 특히 관리 프로그램이 설치된 PC
  • 공격자 활동 시점: 2022년부터 활동, 2024년 하반기부터 본격적으로 PC방 대상 공격 개시
  • 초기 침투 방식: 명확하지 않음
  • 주요 악성코드:
    • Gh0st RAT (원격제어)
    • T-Rex CoinMiner (채굴)
    • Patcher, Downloader, KillProc 등 보조 악성코드


🔍 2. 공격 정황

  • PC방 관리 프로그램의 메모리 패치 또는 클라이언트 기능을 악용하여 악성코드 유포
  • Gh0st RAT은 주로 드로퍼 형태로 유포되며, Themida, MPRESS 등으로 패킹됨
  • 클라이언트 측에서도 Gh0st RAT 드로퍼를 설치하는 로그 발견됨
    → 시스템 감염의 지속성 확보 시도로 추정됨

PC방 관리 프로그램의 클라이언트에 의해 설치되는 Gh0st RAT 드로퍼
PC방 관리 프로그램의 클라이언트에 의해 실행되는 Gh0st RAT 드로퍼


🛠️ 3. 악성코드 구성 요소

📌 3.1. Gh0st RAT

  • 중국 C. Rufus Security Team 제작, 소스코드 공개됨
  • 파일 제어, 키로깅, 스크린 캡쳐 등 기능 수행
  • 메모리 내에서 서비스로 등록되어 C&C와 통신
  • 기존 “Gh0st” 문자열 대신 **“Level”**이라는 시그니처 문자열 사용
    → 탐지 회피 목적 추정

리소스에 존재하는 Gh0st RAT

🔍 주요 해석 내용

1. 시작 마법 값 (Magic Number)

  • 4D 5A
  • ASCII로 MZ → 이는 DOS 헤더의 시그니처이며, PE 파일의 시작을 나타냅니다.
  • MZ는 MS-DOS 초기 개발자 Mark Zbikowski의 이니셜입니다.

2. "This program cannot be run in DOS mode"

  • 우측 ASCII 해석에 보면 "This program cannot be run in DOS mode." 라는 문구가 보입니다.
  • 이는 PE 파일의 DOS Stub 영역입니다.
    → 이 프로그램이 DOS 환경에서 실행될 수 없고, Windows 환경에서 실행되어야 한다는 것을 의미합니다.
  • DOS Stub은 PE 파일이 Windows가 아닌 환경에서 실행될 경우 출력되는 메시지입니다.

3. 파일 내부 오프셋

  • 예: 0001C4C0, 0001C4D0 등은 파일 내 위치(오프셋)을 의미합니다.
  • 이 위치들은 헥사 데이터가 파일 내에서 어느 주소에 위치하는지를 알려줍니다.

💡 요약하면

이 이미지는 Windows 실행 파일(PE 파일)의 헤더 부분을 헥사 에디터로 열어서,

  • MZ 시그니처를 통해 PE 파일임을 확인하고,
  • ASCII 영역에 "This program cannot be run in DOS mode"라는 메시지가 존재함으로써 정상적인 Windows용 실행 파일임을 보여줍니다.

🔍 1. 시그니처 문자열이란?

**시그니처 문자열(Signature String)**은 다음을 의미합니다:

악성코드나 C&C(Command & Control) 통신에서 식별 가능한 고유 문자열로, 보안 솔루션이나 분석가들이 이를 통해 공격 도구를 식별하거나 분류하는 데 사용됩니다.

예:

  • 유명 RAT(Remote Access Trojan)인 Gh0st RAT는 C&C 패킷에 "Gh0st"라는 문자열이 포함되어 있어 탐지에 활용됩니다.
  • 이러한 문자열은 네트워크 트래픽 캡처(pcap)나 메모리 덤프 등에서도 눈에 띄게 드러납니다.

🤔 2. 왜 “Gh0st” 대신 “Level”을 썼을까?

🔸 [1] 탐지 회피 목적

  • "Gh0st"라는 문자열은 너무 널리 알려져 있어, 거의 모든 보안 솔루션에 탐지 시그니처로 등록돼 있음.
  • "Level"처럼 무해하거나 일반적인 단어를 쓰면 트래픽 필터링/침입 탐지 우회 가능성이 높아짐.
    • 예: "Level"은 게임, 앱 설정, 로그 등에서 흔히 보일 수 있는 단어.

🔸 [2] 포렌식 분석 회피

  • 분석가들이 문자열 검색 시 "Gh0st"를 기준으로 분석하는 경우가 많기 때문에, 다른 문자열 사용 시 연관성을 끊는 효과가 있음.
  • 즉, 공격자가 만든 툴이 기존 Gh0st RAT의 변형이라도, 포렌식에서 그것이 드러나지 않게 만듦.

🔸 [3] 변형 또는 새로운 변종임을 시사

  • Gh0st의 파생 또는 커스텀 빌드일 수 있으며, 자신만의 커뮤니케이션 식별자로 "Level"을 설정했을 가능성.
  • 이는 공격자 그룹이 도구를 맞춤 제작했음을 나타냄.

🔸 [4] 심리적 혼란 유도

  • 분석 과정에서 단순한 문자열이므로 정상 트래픽으로 오인하거나 로그에서 눈에 잘 띄지 않음.
  • 방어자의 **인지 부조화(heuristic confusion)**를 유도.

🧠 요약: 공격자의 의도는?

"Gh0st"처럼 널리 알려진 문자열을 쓰면 쉽게 탐지되므로, 이를 피하기 위해 "Level"이라는 평범하고 덜 의심스러운 문자열을 사용한 것.

이는 보안 탐지 회피, 분석 회피, 맞춤형 악성코드 도구 개발, 위협 그룹의 정체 은폐를 위한 전형적인 APT 전략 중 하나입니다.


📌 3.2. Patcher

  • 관리 프로그램의 특정 프로세스 메모리 패치
  • 이전엔 WAV 파일명을 사용했으나, 현재는 cmd.exe로 위장
  • 특정 상황에서 Gh0st RAT 드로퍼 실행 유도

Patcher 악성코드 설치 행위
메모리 검사 및 패치 패턴


📌 3.3. Downloader

  • 역할: Gh0st RAT, CoinMiner, KillProc 등 악성코드 추가 설치

📌 3.4. T-Rex CoinMiner

  • XMRig(모네로) 대신 T-Rex 사용
    → GPU 성능 높은 PC방 특성에 최적화
  • 채굴 대상: 이더리움 계열, 레이븐코인 등
  • 설치 경로 예시 (관리 프로그램 업데이트 시 변경됨):
  • scss
    %ProgramFiles(x86)%\Windows NT\mmc.exe %ProgramFiles(x86)%\Windows NT\mtn.exe %ProgramFiles(x86)%\Windows NT\syc.exe %ProgramFiles(x86)%\Windows NT\syn.exe %ProgramFiles(x86)%\Windows NT\tnt.exe

📌 3.5. KillProc

  • 경쟁 채굴 프로그램 및 차단 솔루션 종료
  • 종료 대상 예시: phoenixminer.exe, mine.exe, miner.exe, chrome.exe, cmd.exe, svchost.exe, pms.exe, po4.exe, scse.exe, notice.exe, geekminer.exe 등

📎 4. IoC (침해 지표)

🔹 MD5 해시

  • 04840bb2f22c28e996e049515215a744
  • 0b05b01097eec1c2d7cb02f70b546fff
  • 142b976d89400a97f6d037d834edfaaf
  • 15ba916a57487b9c5ceb8c76335b59b7
  • 15d6f2a36a4cd40c9205e111a7351643

🔹 악성 URL

  • http[:]//112[.]217[.]151[.]10/config[.]txt
  • http[:]//112[.]217[.]151[.]10/mm[.]exe
  • http[:]//112[.]217[.]151[.]10/pms[.]exe
  • http[:]//112[.]217[.]151[.]10/statx[.]exe
  • http[:]//121[.]67[.]87[.]250/3[.]exe

🔹 C&C 및 유포 관련 IP

  • 103[.]25[.]19[.]32
  • 113[.]21[.]17[.]102
  • 115[.]23[.]126[.]178
  • 121[.]147[.]158[.]132
  • 122[.]199[.]149[.]129

✅ 5. 대응 권고사항

  • PC방 관리 프로그램 및 OS 최신 업데이트 필수
  • 보안 솔루션 실시간 감시 및 최신 DB 유지
  • 관리자 및 운영자는 IoC 기반 정기 점검 필요
  • 사전 대응 강화를 통한 조기 탐지 필요

https://asec.ahnlab.com/ko/88147

 

국내 PC방 대상 T-Rex 코인 마이너 공격 사례 분석 - ASEC

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 PC방을 대상으로 코인 마이너를 설치하고 있는 공격 사례를 확인하였다. 공격자는 2022년부터 활동한 것으로 추정되며 PC방 대상 공격은 2024년 하반기

asec.ahnlab.com

 

📌 사건 개요

  • 유출 기관: 경기도평택교육지원청
  • 유출 시점: 2024년 5월 23일경
  • 유출 경위: 공문 이메일 발송 시, ‘2024년 하반기 지방공무원 전보 내신 제출 안내’ 공문에 지방공무원 인사기록이 포함된 첨부파일을 실수로 발송
  • 유출된 개인정보 항목: 주민등록번호, 이름, 연락처 등
  • 유출 인원: 500여명

📌 기관 대응 및 문제점

  • 대응 조치:
    • 첨부파일 삭제 요청
    • 유출 대상자에게 개별 사과문 발송
  • 비판 사항:
    • 홈페이지 공지 미이행: 관련 법령상 공지사항 게시가 필요함에도 불구하고, 이를 누락하고 개별 통지에 그침

📌 보안 전문가들의 지적

  1. 더열심히 김성훈 CISO:
    • DLP 솔루션을 활용해 개인정보 포함 문서의 첨부 자체를 차단할 수 있는 정책 적용 가능
    • 유출 원인으로는
      • 보안 솔루션 미비
      • 보안정책 미적용
      • 개인정보보호 담당자 부재
      • 업무 절차 미준수 등을 지적
  2. 위즈코리아 김훈 부문장:
    • 개인정보 파일 관리 규정 강화 및 직원 교육 필요
    • 추가 보안 조치:
      1. 접근 제어 강화
      2. 파일 암호화
      3. PC 보안 제품 도입
      4. 공문 발송 시스템 내 개인정보 자동 검출 기능 필요
  3. 리니어리티 한승연 대표:
    • 담당자 실수로 인한 유출은 빈번
    • 대응책:
      • 개인정보 처리 담당자 식별 체계 마련
      • 관련 사고 사례와 처벌 수위 교육 포함 필요

📌 요약 포인트

  • 단순 실수가 대규모 유출로 이어진 사건
  • 기술적·관리적 보호조치 부족이 본질적 원인
  • 공개 고지 미이행 등 절차적 대응도 부적절
  • 보안 솔루션과 예방 체계 개선 필요성이 강하게 제기됨

https://www.boannews.com/media/view.asp?idx=130056

 

경기도평택교육지원청, 실수로 500여명 지방공무원 개인정보 유출

경기도평택교육지원청에서 500여명의 지방공무원의 개인정보가 유출된 사건이 발생했다. 경기도평택교육지원청은 지난 23일 ‘2024년 하반기 지방공무원 관내 전보 내신 제출 안내’란 제목의

www.boannews.com

 

🧨 [요약]

🕒 사건 진행 시간대별 요약

4월 18일 18:09 SKT, 비정상 데이터 이동(내부 시스템) 최초 인지
4월 18일 23:20 악성코드 발견, 해킹 공격 사실 인지
4월 19일 01:40 유출된 데이터 분석 착수
4월 19일 23:40 유심 정보 유출 정황 확인
4월 20일 16:46 KISA에 해킹 사고 신고 접수 (규정보다 하루 이상 지연)
 

⚖️ 법적 쟁점: 정보통신망법 위반

  • 정보통신망법 제48조의3:
    ▶ 침해사고 발생 사실을 **“인지한 시점부터 24시간 이내”**에 과기정통부 또는 KISA에 의무 신고해야 함.
  • SKT는 최소 17시간 ~ 최대 45시간 지연 신고
    → 법 위반 소지 확실
    KISA 역시 “신고 지연은 규정 위반”이라 명확히 확인

📉 유심 보호 미가입자 보안 취약성

  • SKT가 운영 중인 유심 보호 서비스 미가입 시:
    • 📵 단말기를 끄거나 비행기 모드로 전환하면
      → 해커가 유심 정보로 복제폰 생성, 주도권 탈취 가능
    • 🔛 단말기가 켜져 있는 상태라면 비교적 안전
  • 유심 보호 서비스 가입자는 이러한 위험에 노출되지 않음

📌 핵심 위험 요약

신고 지연 침해 사실 인지 시점부터 24시간 초과 보고 → 법 위반
유심 보호 미가입자 복제폰 생성 위험 노출 (단말기 꺼진 상태에서 특히 취약)
공개 시점 지연 해킹 사실과 유출 정황을 공식적으로 알린 시점도 늦음 → 고객 신뢰 타격
 

🏛️ 정치권 반응

  • 국민의힘 최수진 의원:
  • “해킹 사고 후 소비자 불안이 커지고 있다.
    국회 차원에서 피해 확산 방지와 재발 방지 대책 마련에 나서겠다.”

📌 정리 한 줄 요약

SKT는 해킹 사실을 인지하고도 24시간 이내 신고 의무를 어겼으며,
유심 보호 서비스 미가입자들은 복제폰 위험에 노출될 수 있어
소비자 보호 및 법적 대응이 시급한 상황이다.

https://www.yna.co.kr/view/AKR20250424072400017

 

SKT, 최초 이상 인지는 18일…24시간 내 해킹 보고 규정 위반 | 연합뉴스

(서울=연합뉴스) 조성미 기자 = SK텔레콤[017670]이 해킹 공격을 받은 사고의 최초 인지 시점은 고객 정보 탈취를 인지한 지난 19일보다...

www.yna.co.kr

 

20254말, 아르바이트 구인·구직 플랫폼인 알바몬에서 대규모 개인정보 유출 사고가 발생했습니다. 이번 사건은 국내 주요 통신사인 SK텔레콤의 해킹 사고와 맞물려 보안에 대한 우려를 더욱 증폭시켰습니다.


📌 사건 개요

  • 발생 시점: 2025430
  • 유출 규모: 22,473건의 임시 저장된 이력서 정보
  • 유출 항목: 이름, 휴대전화 번호, 이메일 주소

🔍 유출 경위

알바몬은 '이력서 미리보기' 기능에서 비정상적인 접근과 해킹 시도를 감지하였으며, 해당 접근을 시도한 계정과 IP차단하고 보안 취약점에 대한 긴급 조치를 완료했습니다. 현재는 동일한 방식의 해킹 시도는 이상 발생하지 않도록 원천 차단된 상태입니다.


🛡️ 대응 조치

  • 신고 안내: 202551일, 알바몬은 개인정보보호위원회에 자진 신고하였으며, 유출 대상자에게 개별 안내를 진행했습니다.
  • 보안 강화: 보안 시스템을 전면 재점검하고 개인정보 보호 체계를 대폭 강화하겠다고 밝혔습니다.

💰 보상안 논란

알바몬은 유출된 회원들에게 10상당의 보상안을 마련하고 문자와 이메일로 개별 안내할 예정이라고 밝혔습니다. 그러나 일부 피해자들은 보상액이 적절하지 않다고 지적하며 논란이 일고 있습니다.

https://imnews.imbc.com/news/2025/econo/article/6712625_36737.html

 

알바몬도 해킹‥"개인 이력서 정보 2만2천건 유출"

SK텔레콤의 대규모 개인정보 유출 사건의 여파가 지속되는 가운데 아르바이트 구인·구직 플랫폼인 알바몬에서도 해킹 공격으로 2만 건 이상의 개인정보가 유출됐습니다. 알바몬은 어제(2...

imnews.imbc.com

 

20255월, 글로벌 스포츠 브랜드 아디다스에서 고객 개인정보 유출 사고가 발생했습니다. 이번 사건은 2024또는 이전에 아디다스 고객센터를 통해 문의한 고객들의 정보가 3자에게 유출된 것으로 확인되었습니다.


📌 유출된 정보

아디다스는 고객들에게 보낸 이메일을 통해 다음과 같은 정보가 유출되었을 있다고 밝혔습니다:

  • 이름
  • 이메일 주소
  • 전화번호
  • 생년월일
  • 주소

다만, 비밀번호나 결제 관련 정보와 같은 금융 정보는 유출되지 않았다고 설명했습니다.


🛠 아디다스의 대응 조치

아디다스는 유출 사실을 인지한 즉시 정보 보안 전문업체들과 협력하여 포괄적인 조사를 진행하고 있으며, 관계 당국에도 해당 사실을 보고했다고 밝혔습니다. 또한, 소비자의 정보 보호와 보안 유지를 위해 추가적인 보안 조치를 강화했다고 전했습니다.

https://www.yna.co.kr/view/AKR20250516142100030

 

아디다스, 고객 개인정보 유출…이름·주소·전화번호 등 포함 | 연합뉴스

(서울=연합뉴스) 강애란 기자 = 명품 브랜드 디올에 이어 스포츠의류 브랜드 아디다스도 해킹으로 고객 개인정보 유출 사고가 발생했다.

www.yna.co.kr

 

🧨 SK텔레콤 해킹 사건 2조사 결과 요약

📅 발표 일시

  • 2025519, SKT 민관합동조사단이 2침해사고 조사 결과 발표

📌 핵심 요약

악성코드 25 확인됨 (1차: 12종 + 2차: 13추가)
서버 감염 범위 23서버 감염 확인 (1차: 5대 → 2차: 18추가)
새롭게 확인된 항목 악성코드에 의해 생성된 임시 파일 IMEI(단말기 고유식별번호) 포함됨
유출된 정보량 9.82GB (IMSI 기준 2,695)
IMEI 유출 가능성 최대 291,831 추정됨, 방화벽 로그상 외부 유출 흔적은 발견되지 않음
사용된 악성코드 종류 BPF도어 계열 12종 + 웹셸 1종 → 25
 

🧬 유출 정보 상세 분류

1발표 기준 - 가입자 전화번호
- IMSI (가입자 식별번호)
- SKT 내부 관리정보 21
2추가 - IMEI (단말기 식별번호) 저장 정황 확인
추정 수: 29
 

IMEI단말기 식별번호로 유심(IMSI)결합되면 강력한 개인 추적 수단있음


🛡️ 대응 보안 조치

SK텔레콤 - 리눅스 서버 기타 서버도 전수 점검 확대
- 발견 즉시 서버 격리 악성코드 제거
조사단 - BPF도어 변종 웹셸 포함 25악성코드 분석
- “국민 피해 발생 투명하게 공개할 발표
정부 (과기정통부) - 통신사 플랫폼 기업 대상으로 전면 보안 점검 지시
- 국정원 중심의 민·점검 체계 운영
 

⚠️ 향후 우려되는 보안 이슈

  1. IMEI + IMSI 결합 노출 시나리오
    • 개인 단말기 추적 가능성
    • 복제폰 제작 → 통화·문자 도청, 위치 추적 시도 우려
  2. 서버 23감염은 대규모 침투 정황
    • 단일 침입이 아닌 지속적 침투 내부 확장 흔적
    • 초기 BPF도어 침투 lateral movement(횡적 이동) 가능성 제기
  3. 웹셸 발견추가 침입 루트 혹은 공격 지속을 위한 흔적

https://www.boannews.com/media/view.asp?idx=137297

 

[SKT 해킹 사태] 스마트폰 고유정보 IMEI도 유출 가능성...민관조사단 2차 결과 발표

SK텔레콤 서버에 악성코드 13종이 추가 발견되면서 총 25종의 악성코드가 확인됐다. IMEI를 비롯한 개인정보 추가 유출 가능성도 제기됐다. SKT 민관합동조사단은 19일 현재까지 총 23대 서버 감염을

www.boannews.com

 

🗓️ 발생 시점

202099
(네오플이 공식 홈페이지를 통해 사건 내용 조치 결과를 공개한 날짜)


🏢 사건 주체

  • 회사명:네오플 (NEXON자회사, 던전앤파이터 개발사)
  • 네오플 소속 운영 담당자(내부 직원)

📌 사건 개요

  • 네오플 소속 직원이 운영 권한(GM 권한)악용하여 게임 재화를 비정상적으로 생성 유통한 사실적발됨.
  • 내부 감사 결과, 해당 직원이 재화 생성 이동 기록을 위장하며 사적 이득을 취한 정황드러남.
  • 해당 재화는 일부 일반 유저 계정과도 거래되어, 게임 경제에 영향을 가능성도 확인됨.

🛠 조치 사항

🚫 직원 해당 직원은 즉시 퇴사 처리 형사 고발 조치
🔍 기술 모든 이상거래에 대해 게임 로그 추적 회수 조치
🔒 시스템 운영 권한 사용 이력 게임 관리자 기능 전면 점검
📢 대외 202099공식 홈페이지 공지문으로 유저들에게 사건 설명 사과문 게시
 

🔍 횡령 방식 상세

  • 내부 직원이 운영 권한을 이용해 게임 고가 아이템 또는 재화를 비정상적으로 생성
  • 해당 자산을 자신이 소유하거나 연계된 일반 계정으로 이관
  • 일부는 경매장 유저 거래를 통해 실제 유저에게 판매되거나 유통
  • 네오플은 계정들과 해당 거래까지 모두 조사하고 재화 회수 진행

🧠 문제점 구조적 취약성

운영 권한 통제 부재 GM 권한 사용에 대한 실시간 감시 시스템 부족
이중 감시 구조 부재 1단독 접근이 가능한 운영툴 구조
거래 추적 어려움 횡령 재화가 2거래를 통해 일반 유저에 전파경우 추적 어려움
게임 신뢰도 하락 유저들이 게임 경제 시스템 보상에 대해 불신 강화
 

📣 유저 반응 (커뮤니티 요약)

  • 운영자가 게임을 턴다니 충격”, “게임 경제 자체를 흔든 사건
  • 다른 게임에서도 비슷한 있는 아니냐는 의심
  • 일부 유저는 “신뢰 상실로 인해 탈던(게임 접기)선언
  • 네오플의 실명 고발 조치사과문 공개는 "늦었지만 적절했다"평가도 존재

📜 공식 사과문 핵심 요약 (2020.09.09)

게임의 공정성과 신뢰를 훼손하는 중대한 사안으로 판단하였으며, 해당 직원은 이미 퇴사 처리하였고 형사 고발을 포함한 강력한 법적 대응을 진행하고 있습니다. 향후 유사한 일이 발생하지 않도록 운영 권한 사용에 대한 전면적인 점검 시스템을 강화하겠습니다.”


📋 최종 요약

발생일 202099일 (공식 공지일)
회사 네오플 (넥슨의 자회사, 개발 담당)
사건 개요 내부 운영자가 GM 권한으로 재화를 생성해 횡령
조치 내용 퇴사 고발, 로그 추적 자산 회수, 운영 권한 재정비
유저 반응 배신감, 게임 불신, 시스템 개선 요구
본질 내부자에 의한 보안·도덕적 해이(Insider Threat) 사건

🎯 생성 거래된 주요 재화 유형 (공식 발표 + 커뮤니티 추정 기반)

골드 (게임 화폐) 가장 기본적인 자산, 직접 생성 또는 아이템 판매로 획득
고급 장비 아이템 경매장에서 고가 거래가 가능한 에픽/신화 등급 아이템
강화권 / 재련권 현금성 아이템으로서, 유저 프리미엄 거래 대상
보조 아이템 (큐브, 카드 등) 무기 강화 캐릭터 성능 개선에 사용되는 고가 아이템
 

정확한 수량은 네오플이 공개하지 않았으나, 피해 회수 과정에서 수천만 골드 규모의 일반 유저 거래 추적있었다고 보고됨 (당시 유저 커뮤니티 인벤, 디씨 다수 증언).


📊 경제 시스템에 미친 영향

경매장 물가 왜곡 내부자가 생성한 고급 아이템이 시장에 공급되며 가격 일시 하락 발생
희소성 붕괴 한정 수량의 아이템이 운영자 계정에서 등장 → 신뢰도 급락
유저 신뢰 하락 거래한 상대가 혹시 운영자였던 아닐까?”라는 심리적 불안 확산
피해 유저 자산 회수 일부 거래한 유저 계정에 대해 아이템 회수 조치있었음 (불만 유발)

🇰🇷  국내 유사한 사례

🔹 [2021] 리니지M 운영자 사적 아이템 생성 사건 (엔씨소프트)

  • 내용: 운영자가 내부 툴을 사용해 아이템을 비정상적으로 생성하여, 지인에게 제공
  • 결과: 내부자 해고 사법 처리, 게임 경제 전면 점검
  • 특이점: 유저 금전거래 연계로 사설 현금거래까지 파장

🔹 [2015] 온라인 운영자 계정 판매 사건 (웹젠)

  • 내용: 운영 권한을 갖고 있는 개발자가 GM 계정을 받고 외부인에게 넘김
  • 결과: 계정은 아이템 생성용으로 악용 → 시장 붕괴 수준의 인플레이션 유발
  • 처벌: 피의자 실형 선고

🌍 해외 유사한 사례

🔹 [2012] EVE Online 개발자 사적 아이템 제공 사건 (CCP Games, 아이슬란드)

  • 내용: 명의 개발자가 특정 유저 집단(길드)고급 함선과 자원 제공
  • 결과: 게임 커뮤니티 대혼란 → CCP공식 사과 운영진 전원 계정 모니터링 체계 구축
  • 특이점: 사건 이후 유저 대표가 운영진 감시하는 CSM 제도’ 생김

🔹 [2005] 블리자드 GM 아이템 남용 사건 (WoW 미국 서버)

    • 내용: GM 계정이 자신의 캐릭터에게 아이템/경험치 부여, PvP 랭킹 조작
    • 결과: 관련 GM 전원 해고, 블리자드는 GM 로그 투명화 정책 시행
    • 영향: 이후 게임업계 전반에 GM 권한 이력 자동 저장’ 문화 도입 계기

대한민국 기준 내부통제 강화 절차 예시

 

1️⃣ 접근 권한 통제

최소 권한 원칙 업무에 필요한 최소한의 권한만 부여 (Role-Based Access Control: RBAC)
권한 승인 절차 모든 권한 부여 요청은 보안관리자 부서장의 이중 승인 필요
정기 권한 검토 분기 1이상 계정 권한 리뷰 불필요 권한 회수
일회성/임시 권한 관리 고위험 작업 일시적 권한 발급 → 작업 자동 회수
 

2️⃣ 행위 감사 로그 관리

행위 로그 수집 관리자 권한 사용 모든 명령 결과 로그 자동 기록 (예: 아이템 생성, 유저 정보 조회 등)
실시간 이상 행위 탐지 일반 행위 기준에서 벗어나는 행위를 자동 탐지 (예: 야간 시간대 비정상 거래)
로그 위·변조 방지 로그는 WORM 저장소 또는 SIEM 연동 저장소보관 (삭제 불가 방식)
로그 보관 기간 최소 6개월~1이상 보관 (ISMS 기준)
3️⃣ 이중 검증 및 승인 체계
고위험 기능 실행 승인 절차 예: 아이템 지급, 유저 밴, 재화 생성 → 사전 관리자 승인 필요
작업자-승인자 분리 기능 실행자와 승인자는 반드시 별도 계정/부서분리
21감시 원칙 적용 민감 작업은 상호 모니터링 환경(화면 캡처 포함) 하에 수행
 

4️⃣ 내부자 보안 교육 서약

정기 보안 교육 1~2내부자 보안 권한 남용 사고 사례 교육 필수
서약서 징구 운영자는 정보보호 형사 책임 관련 서약서 작성 의무화
퇴사자 권한 즉시 회수 퇴사 즉시 계정 폐기 모든 접근 권한 차단
 

5️⃣ 운영 도구 통제 접근 기록화

운영툴 접근 통제 운영툴은 사내망 또는 VPN통한 접근만 허용, MFA 필수
사용 내역 기록 실행 결과 로그를 사용자 계정별로 추적 가능하도록 설계
스크립트 실행 제한 직접 명령어 입력 가능 시스템 → 사전 등록된 템플릿 기반 실행 방식 전환
 

6️⃣ 내부자 사고 대응 체계

위반 발생 자동 알림 이상행위 발생 보안팀/감사팀에 즉시 알림 전달
디지털 포렌식 체계 구축 사고 발생 시를 대비한 사내 포렌식 분석 증거 보존 체계 확보
사건 보고 체계 정립 의심 정황 발생 사내 익명제보 외부 기관 신고 루트 확보
 

📚 참고 가이드라인

  • ISMS-P 인증 기준 (KISA): 내부자 위협 시스템 접근통제 요구사항 포함
  • 국가정보원 ‘정보시스템 운영보안 지침’: 공공기관 권한 관리 절차 표준
  • NCSC Korea 권한분리 가이드라인: 관리자 권한 분리·이중 검증 원칙
  • 금융보안원 내부통제 가이드: 고위험 거래에 대한 승인 로그요건 포함

던전앤파이터 직원 권한 남용 논란 - 나무위키

 

던전앤파이터 직원 권한 남용 논란

2020년 9월 9일, 던전앤파이터 의 게임 운영자 중 한 명이 운영자 권한을 악용하여 게임 내 재화와 아이템을

namu.wiki

 

🧨 [요약] SKT 유심 정보 유출 사건, 북한 해커 연루 가능성 제기

🔐 1. 사건의 핵심 쟁점

  • **SK텔레콤의 핵심 서버(HSS)**해킹 당한 정황이 드러남.
  • 경찰·정부 공동 조사 중이지만 해킹 주체는 아직 특정되지 않음.
  • HSS 서버는 국민의 위치, 통화기록, 인증 정보 포함된 민감한 인프라.
  • 때문에 “단순 개인정보 유출을 넘은 국가 안보 위협 수준이라는 분석도 존재.

🕵️‍♂️ 2. 북한 해커 개입 가능성 (정황 수준)

  • 북한 개입이 확정되진 않았으나, 다음과 같은 근거로 의심이 제기됨:
    1. HSS 해킹은 고난도 공격일반 해커보단 국가 연계 공격자 추정
    2. 북한은 과거 한국수력원자력, 국방부, 비트코인 거래소 해킹 시도 전력 있음
    3. 생활 정보수집하려는 목적 가능성 제기 (통화·인증·위치 기반 정보 활용)
    4. 최근 북한 연계 해킹 활동과 불법 도박사이트 연계 사례 등도 잇달아 드러남

🧭 3. 정부기관 반응

국정원(NIS)

  • SKT민간영역이라 공식 조사는 하지 않고, 안전 권고만 시행”
  • 북한 연루 정황이 구체적으로 드러나면 관련 부서에서 확인 예정”

경찰청

  • 피해 서버 악성코드 포렌식 분석
  • IP 추적 통해 공격자 파악 시도

💣 4. 북한 연루 의심을 키운 최근 정황

불법 도박사이트 50남성이 북한 해커와 1,000이상 접촉 → 도박사이트 운영 → 북한으로 수익금 일부 송금 정황
CJ올리브네트웍스 인증서 유출 북한발 악성코드에서 CJ디지털 서명 발견됨
위장 취업 정황 북한 IT 인력이 중국에서 조선족 신분으로 한국 SI 업체 외주 참여, 테스트 서버 접근·백도어 심기 사례
암호화폐 해킹 20252월, 북한 라자루스가 이더리움 2.1조원 탈취, 그중 4,400현금화됨 (출처: BBC)
국무부 대응 북한 IT인력, 돈세탁, 위장취업 관련 500달러 현상금 수배
 

🧩 5. 사건이 안보 이슈로 확장될 가능성

  • 이번 사건을 **단순 정보 유출이 아니라 "사이버 테러"**보는 시각도 존재
  • 과거 한동훈 당시 대선 후보는 “국가 사이버 방어 체계 필요라고 공개 발언

요지: 북한의 개입이 확인되면, SKT 사건은 단순한 기업 침해가 아닌
국가 안보 이슈, 대북 사이버 테러 대응 문제로 확장될 있음


1️⃣ SKT대응 미비 지점 분석

구분 내용 보안상 문제점
핵심 서버(HSS) 단일화 구조 HSS 하나에 다수 가입자 인증·정책·식별 정보가 집중됨 단일 실패점(SPoF), 전체망 위험에 취약
선제적 유심보호서비스 미적용 사고 전까지 유심보호서비스는 선택적 서비스였음 전체 고객 보호 불가. 사후 대응에 치우침
공지 피해자 통지 지연 유출 사실 인지 공식 안내까지 수일 이상 소요 정보주체의 권리 보호 미흡, 투명성 부족
초기 보안 태세 부재 침해 징후 감지 적극적 격리·조치 미흡 HSS처럼 민감한 시스템에는 Zero Trust 모델 도입 필요
사고 인지 신고 지연 418오후 69이상 징후 감지 → 420오후 446분에 KISA 신고 개인정보보호법상 24시간 이내 신고 의무 위반. 보고 체계 지연 가능성
 

🔥 총평: 사고 전/대응 모두 “기술적/관리적 통제”부재하거나 지연,
특히 "탐지 → 분석 → 보고"내부 체계 정비가 시급함.


2️⃣ 북한의 과거 해킹 전술 흐름 분석

시기 공격 대상 주요 수법 관련 조직
2016~2017 국내 비트코인 거래소 클라이언트 백도어, C2 서버 통한 탈취 라자루스
2020~2024 중소 SW기업, 병원, 연구기관 악성 HWP, 원격지원 위장, 관리자 계정 탈취 안다리엘, 블루노로프
2023~2025 기업용 이메일서버, 인증서 발급 시스템 디지털 서명 탈취 유포, 크리덴셜 재사용 공격 김수키
지속적 흐름 SI 외주, 중국 거점 IT 인력 위장 취업 → 내부망 접근 → 정보 유출 미상 다수 APT
2014 한국수력원자력 피싱 메일 통한 내부망 침입 → 설계도면 유출 김수키
 

⚠️ 전술적 특징

  • APT 수준 고도화: 초기 피싱 → 내부망 lateral movement → 백도어 삽입 → 탈취 은폐
  • 공격 흔적 제거매우 능숙함
  • 디지털 서명, 인증서, 신뢰 사슬을 이용한 유포집중

🎯 SKT HSS 해킹과의 연관성?
북한의 기존 해킹 방식과 기술 수준, 침투 경로, 은폐 기법이 상당히 유사함 → 정황상 유력한 배후 하나로 추정 가능


3️⃣ HSS(Home Subscriber Server) 보안 강화 방안

HSS이동통신사의 심장부같은 존재야. 여길 강화하지 않으면, 통신 인프라 전체가 무력화될 있어.

🔐 기술적 강화

접근통제 내부 운영자 접근 MFA(다중 인증), 시간제한, 명령어 감사 적용
Zero Trust Architecture HSS접근하는 모든 트래픽에 대해 무조건 인증 검사 수행
네트워크 분리 HSS외부 시스템 데이터 흐름을 단방향 또는 Proxy 서버 통해 제어
Signaling Firewall 도입 HSS 앞단에 Diameter/S6a/S6d 트래픽 제어 가능한 신호망 방화벽 도입
포렌식 로그 보호 실시간 로그 수집 → 외부에 무결성 보장된 별도 저장소로 전송
 

🛡️ 운영·관리 강화

Security Operation Center(SOC) HSS 전용 실시간 모니터링 이상징후 탐지 전담 운영
Red Team / Purple Team 훈련 실제 침투 시나리오 기반 실전 대응 시뮬레이션 반복 훈련
업데이트 검증 체계 HSS OS/패키지 업데이트 사전 테스트 단계적 적용
고립 실행 환경 도입 신규 접근 별도 가상환경에서 샌드박싱 허용

🔚 정리 요약

SKT문제점 탐지/신고 지연, 대응 체계 미흡, 사전 예방책 부재
북한 해킹 흐름 위장·침투·탈취·은폐의 고도화된 APT 전략 → SKT 사건과 유사 정황
HSS 보안 강화 핵심 기술/운영 양면에서 “Zero Trust” + “이중 방어선” 체계 필요
 

https://www.boannews.com/media/view.asp?idx=137273

 

[SKT 해킹 사태] [사람과 보안] SKT 사건, 단순 사고인가 북한 ‘사이버 침투전’인가

SK텔레콤 유심 유출 사건에 북한의 ┖대남 도발 흔적┖이 포착된다면 이는 한 기업의 문제를 넘어 국가 차원의 중대한 안보 이슈로 비화할 수 있다. SK텔레콤 사건에 대한 면밀한 진상과 해킹의

www.boannews.com

 

KISA에 “적극적 진상 파악, 침해사고 신고 등 대응 절차 홍보 강화해야” 촉구

[보안뉴스 강현주 기자] 최근 명품 브랜드 디올이 개인정보 유출 사고를 당하고도 관련 기관 신고 의무를 제대로 하지 않았다는 지적이 나왔다.

최수진 국민의힘 의원은 14일 “디올이 고객 정보 유출 사실을 한국인터넷진흥원(KISA)에 신고하지 않았다”며 “이는 침해사고 발생 사실을 즉시 신고할 것을 규정한 정보통신법 위반으로 3000만원 이하 과태료 처벌 대상”이라고 주장했다.

[자료: 연합]


최수진 의원실에 따르면, 디올은 이번 해킹 발생 후 개인정보보호위원회 신고는 마쳤지만 KISA에는 아무 조처를 하지 않았다.

디올은 13일 홈페이지 고지를 통해 “외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 지난 7일 발견했다. 영향을 받은 데이터에는 고객의 연락처 정보와 구매·선호 데이터가 포함된다”며 해킹 사실을 밝힌 바 있다.

이번 사건은 디올 본사에서 공격이 발생해 국내 이용자들의 정보가 누출된 사고다. 디올 본사는 해외 법인으로 국내 법인인 디올코리아와는 다르다. 하지만 현행법상 국내 이용자 피해가 발생하면 KISA 신고 대상에 해당한다.

정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 그 사실을 과학기술정보통신부장관이나 KISA에 즉시 신고해야 한다. 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시하고 있다. 해킹이 발생했는데도 신고하지 않을 경우 3000만원 이하 과태료를 물 수 있다.

최 의원은 앞서 SKT에 대해서도 유심 해킹 관련해 늦장 신고를 했다고 지적한 바 있다. 정보통신망법에 따르면 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시와 원인, 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 하지만 SKT는 해킹 이틀 후에야 신고를 했다는 게 최 의원측 설명이다.

최 의원은 “KISA는 신고 업무와 관련해 업계에 정책 홍보를 강화할 필요가 있다”며 “해킹 사건이 빈번해지는 가운데 KISA의 적극적 진상 파악과 협력을 통해 정부가 적극적으로 문제 해결에 나서야 한다”고 밝혔다.

한편 KISA는 SKT 침해 사고 신고 관련 “일부 혼선이 있었다”며 “신고 과정에서의 혼선과 오류, 설명 부족 등이 재발하지 않도록 보완하고, 정보보호·디지털 전문기관으로서 신속한 대응과 투명한 정보 공유를 약속한다”고 입장을 밝힌 바 있다.

https://www.boannews.com/media/view.asp?idx=137263

 

최수진 의원 “디올 해킹 사고 KISA에 미신고, 과태료 처벌 대상”

최수진 의원은 디올이 고객 정보 유출에 대해 한국인터넷진흥원(KISA)에 신고하지 않았다며 “정보통신법 위반으로 3,000만원 이하 과태료 처벌 대상”이라고 지적했다.

www.boannews.com

 

프랑스 명품 브랜드 디올에서 한국 고객의 정보가 누출됐다. 해킹 사실을 인지한 건 무려 4개월 만이다. 특히 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA(한국인터넷진흥원)에는 조처를 하지 않은 것으로 알려졌다.

디올은 전날 공지를 통해 "당사는 2025년 5월 7일, 외부의 권한 없는 제3자가 당사가 보유한 일부 고객 데이터에 접근한 사실을 발견했음을 알려드린다"며 "2025년 1월 26일에 발생한 이 침해사고를 제한하기 위한 조치를 즉시 취했다"고 밝혔다.

이어 "당사는 관련 규제 당국에 이 사실을 통보했으며, 사이버 보안 전문가들과 함께 계속해서 이 사건을 조사하고 대응하고 있다"고 전했다.

14일 국회 과학기술정보방송통신위 국민의힘 최수진 의원실에 따르면, 디올은 해킹 발생과 관련해 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA에는 조처를 하지 않은 것으로 확인됐다.

이번 사건의 경우 디올 본사에서 해킹이 발생해 국내 이용자의 정보가 누출된 것이다. 디올 본사는 해외법인이고 국내 법인인 디올코리아와는 다르지만 현행법상 국내 이용자 피해가 발생하면 엄연히 KISA 신고 대상에 해당한다고 의원실은 지적했다.

정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 또 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시했다.

https://www.kdfnews.com/news/articleView.html?idxno=156286

 

디올 한국 고객 정보 유출…KISA에 신고 안해 - 한국면세뉴스

프랑스 명품 브랜드 디올에서 한국 고객의 정보가 누출됐다. 해킹 사실을 인지한 건 무려 4개월 만이다. 특히 개인정보보호위원회 신고는 마쳤지만 해킹 신고 대상인 KISA(한국인터넷진흥원)에는

www.kdfnews.com

 

[기사 내용]

□ 국립축산과학원의 '축사로' 사이트에서 개인정보 유출 사고가 발생

 ○ 개인정보 유출 사실을 인지하고서도 11일이 지난 21일에야 회원들에게 안내 문자를 송부

 ○ 축사로 회원 계정 3132개 중 비밀번호 변경을 마친 계정은 166개(5.3%, 25일 기준) 뿐이다.

[농촌진흥청 설명]

□ 외부에 사무실을 둔 정보화위탁사업 용역업체의 저장장치가 해킹을 당해 해당업체가 무단으로 보유하고 있던 국립축산과학원의 축사로 회원정보(2020년 회원)가 유출된 정황을 4월 10일 확인하였고,

 ○ 4월 11일 정보주체에게 유출 사실 및 비밀번호를 변경하도록 알렸고, 홈페이지에도 공지하고, 개인정보보호위원회에 신고함

 ○ 이후 비밀번호 변경이 저조해 피해 최소화를 위해 4월 21일 추가로 문자를 보내 비밀번호 변경을 독려한 것이고, 축사로 시스템에 로그인하려면 비밀번호를 변경해야 가능하게 시스템을 개선함

 ○ 4월 29일 현재 비밀번호를 변경한 계정은 988개(31.5%)이며, 미변경자에 대해서는 절차를 계속 안내하고 있음

□ 농촌진흥청은 개인정보 침해사고 대책반을 구성하여 재발방지책을 마련 중에 있고, 민원인 상담을 위해 콜센터도 운영하고 있음

https://www2.korea.kr/briefing/actuallyView.do?newsId=148942658

 

농진청 "외부 용역업체 저장장치 해킹, 인지 즉시 신고"

농촌진흥청은 외부 용역업체의 저장장치 해킹에 의한 개인정보 유출 사실은 인지 후 다음날 즉시 신고 및 통지를 완료했다고 밝혔습니다. - 정책브리핑 | 브리핑룸 | 사실은 이렇습니다

www.korea.kr