한국장학재단, '개인정보 유출 정황'…"의심 링크 클릭 금지"
등록 2023.06.28 11:29:26수정 2023.06.28 13:24:05
무작위로 로그인 시도하는 '크리덴셜 스터핑'
회원수 약 924만명…"피해 규모 공개 논의중"
![[세종=뉴시스] 대구 동구 소재 한국장학재단 청사 전경. (사진=한국장학재단 제공). 2023.03.13. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2023/03/13/NISI20230313_0001215550_web.jpg?rnd=20230313132037)
[세종=뉴시스] 대구 동구 소재 한국장학재단 청사 전경. (사진=한국장학재단 제공). 2023.03.13. [email protected] *재판매 및 DB 금지
[서울=뉴시스]김경록 기자 = 한국장학재단 홈페이지에서 부적절한 로그인 시도가 감지돼 개인정보 유출이 의심되고 있다. 재단은 재단 명의로 발송된 링크(url)는 클릭하지 말고 보이스 피싱에 유의해달라고 당부했다.
한국장학재단은 28일 홈페이지 공지사항을 통해 해외 IP의 신원 불상자가 사전 수집한 것으로 추정되는 회원의 아이디·패스워드를 이용해 재단 홈페이지에 지난 25일과 26일 두 차례 로그인을 시도했다고 밝혔다.
이번 시도에는 이미 확보한 사용자의 아이디·패스워드를 다른 사이트 계정 정보에 무작위로 대입해 개인정보를 빼내는 '크리덴셜 스터핑'(Credential Stuffing) 수법이 사용된 것으로 알려졌다.
유출이 의심되는 개인정보 항복은 총 14가지다. 성명, 이메일, 주소, 휴대폰 번호 등 기본 신상정보뿐 아니라 학자금대출 내역, 학자금대출 잔액 등 학자금 관련 정보까지도 유출 의심 정보에 포함됐다.
재단은 개인정보 유출이 의심되는 회원들에게 문자메시지 혹은 이메일을 통해 안내했으며, 추가 피해를 방지하고자 로그인 방식을 기존 아이디·패스워드 입력 방식에서 공동인증서 활용 방식으로 변경했다고 밝혔다.
한국장학재단은 대학생과 졸업생, 교직원 등 총 923만9000여명의 회원 수를 보유하고 있다.
하지만 재단측은 2차 피해 우려로 인해 구체적인 피해 규모를 아직 밝힐 수 없다는 입장이다.
재단 관계자는 "크리덴셜 스터핑 수법상 공격 집단이 여러 방법으로 계정 침투를 시도하는데, 피해 계정이 몇 개라고 밝히면 그걸 제외하고 공격을 집중할 수 있다"며 "개인정보보호위원회와 피해 규모 공개를 논의 중"이라고 밝혔다.
재단은 피해가 발생할 경우 구제 절차를 안내하고 필요한 제반 지원을 아끼지 않겠다고 강조했다. 아울러 향후 개인정보 보호 조치를 강화하는 등 내부 정보보호 관리체계를 개선하도록 노력하겠다고 밝혔다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
