298 읽음
[단독] 디올·티파니 이어 명품 플랫폼 머스트잇도 고객 정보 유출

"2차례 비정상 접근 시도 있어…보안 조치 실시"

머스트잇은 전날인 25일 홈페이지 공지를 통해 "당사는 고객님의 소중한 개인정보 보호를 최우선 가치로 삼고, 철저한 보안 체계를 통해 보호 조치를 운영해왔다"라며 "그럼에도 불구하고 최근 시스템 상의 설계 오류로 인해 개인정보 유출 사고가 발생하였다"고 밝혔다.
유출 가능성이 있는 정보는 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 등 최대 9개 항목에 달한다. 회원번호, 가입일, 아이디 정보도 포함됐다. 탈퇴 회원의 정보는 포함되지 않았다.
머스트잇은 지난 23일 한국인터넷진흥원(KISA)으로부터 개인정보 침해 통보를 받은 뒤 내부 점검을 실시한 결과, 지난 5월6일부터 14일 사이 특정 API를 대상으로 한 대량의 비정상 접근 시도가 있었고, 6월9일에도 동일 경로를 통한 2차 시도가 확인됐다고 설명했다.
회사는 "문제가 된 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였다"며 "사고 인지 즉시 해당 경로를 폐쇄하고 시스템 전반에 대한 보안 조치를 완료했다"고 설명했다. 이후 개인정보보호위원회와 KISA 등 관계기관에도 즉시 신고가 이뤄졌다는 설명이다.
머스트잇은 기존 API를 폐기하고 신원 확인 절차를 거친 사용자만 개인정보를 열람할 수 있도록 하는 신규 인증 시스템을 도입했으며, 해당 구조를 전체 API로 확대 적용 중이다. 이와 함께 웹 방화벽(WAF), 침입 탐지 시스템(IPS) 등의 외부 위협 대응 체계를 강화하고, 비정상 접근에 대한 로그 감시도 상시화했다고 설명했다.
머스트잇 측은 “고객 여러분께 불편과 우려를 드린 점 깊이 사과드리며 이번 사고를 계기로 보다 철저한 개인정보 보호 체계를 구축해 나가겠다”고 말했다.
한편 최근 유통업계의 개인정보 유출 사태가 빈번해지고 있다. 앞서 디올과 티파니코리아, 아디다스에서도 고객정보 유출 사례가 발생한 바 있다.
©(주) 데일리안 무단전재 및 재배포 금지