지난 16일, 외부 해킹 공격 사실 드러나...업체 측, 마스킹 처리로 비교적 ‘안전하다’고 주장

‘인강’ 특성상 개인정보 유출 대상자 대부분은 ‘수험생’

유출된 개인정보, 식별 가능할 경우 타깃형 보이스피싱 등 2·3차 피해 우려

[보안뉴스 이소미 기자] 국내 인기 인터넷 동영상 강의 사이트인 ‘대성마이맥’이 해킹을 당해 회원 9만 5천 여명의 개인정보가 유출됐다.

​

▲국내 인기 ‘인강’ 사이트 대성마이맥의 해킹·개인정보 유출 사고 관련 공지문[이미지=대성마이맥 캡처]

대성마이맥은 이용 금액이 상대적으로 저렴해 많은 회원 수를 보유하고 있는 것으로 알려졌는데, 지난 16일 해당 사이트의 회원 9만 5,170건에 해당하는 개인정보가 해킹당한 사실이 KBS 보도를 통해 밝혀졌다.

이번 해킹으로 유출된 개인정보는 이용자 ID 전체를 포함해 일부 마스킹(가림) 처리로 가려진 △이름 △휴대전화 번호 △이메일 등으로 알려졌는데, 대성아이맥 측은 유출된 개인정보는 이미 마스킹된 정보로 개인 식별이 어렵기 때문에 비교적 안전하다는 입장을 전한 것으로 알려졌다.

다만, 일부 회원의 경우 ID에 자신의 이름이나 전화번호 앞자리 등을 사용해 개인 식별이 가능한 경우도 있어 보이스피싱 등의 범죄에 악용될 수 있다는 우려가 제기되고 있다.

이에 <보안뉴스>는 대성마이맥이 필수적으로 수집하고 있는 개인정보 수집 항목을 살펴봤다. 해당 사이트에 가입하는 방법은 ‘이메일 인증’과 ‘휴대폰 인증’ 가입으로 나뉜다. 두 인증방법 모두 공통적으로 수집하는 개인정보는 △이름 △아이디 △비밀번호 △생년월일 △학교 △계열(학생 회원의 경우) 등이다. 각 방법으로 추가적으로 수집되는 항목은 이메일 인증의 경우 △이메일 주소이며, 휴대폰 인증의 경우 △성별 △내외국인 정보 △D·I(중복가입 방지) 등이 있다.

​

▲대성마이맥에서 회원가입 시 필수적으로 수집하는 개인정보 항목[자료=대성마이맥]

이외에도 유료 서비스 이용 과정에서 활용될 수 있는 결제 수단별 정보로 신용카드 결제 시에는 △카드사명 △카드번호 △결제승인번호를, 휴대전화 결제 시에는 △이동전화번호를, 계좌이체 시에는 △은행명 △입금자명, 무통장 입금 시에는 △은행명 △가상계좌번호 △입금자명 등이 수집될 수 있다고 고지하고 있다.

또한, 서비스 이용 과정에서 자동으로 생성돼 수집될 수 있는 정보로 △IP Address △쿠키 △방문 일시 △서비스 이용 기록 △불량 이용 기록 △기기정보 등이다.

현재 해당 업체는 해킹 사실을 수사기관에 신고하고 의심 IP를 모두 차단하는 등의 선제적인 조치를 취했다고 대성마이맥 홈페이지를 통해 공지했다.

최근 보이스피싱·스미싱 공격자들은 각 대상별로 치밀한 시나리오를 구성해 금전 탈취를 이어가고 있다. 이러한 가운데 이들이 탈취한 개인정보의 식별이 가능할 경우 2차 피해가 발생할 우려가 있어 대성마이맥 회원들은 각별한 주의가 필요할 것으로 보인다.

[이소미 기자(boan4@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=125936&page=1&mkind=1&kind=1)]