2019년 6월 18일. 월정액으로 도서를 대여해 읽을 수 있는 전자책 서비스인 '밀리의 서재'가 개인정보 유출로 인한 사과문을 게시했습니다.

 

'밀리의 서재'의 해킹으로 약 12만명의 가까운 회원들의 이메일 정보가 유출되었는데요.

제 주위 전자책을 많이 보는 사람들도 회원가입이 되어있었다며, 놀라는 분들이 계시네요.

 

밀리의 서재는 2019년 6월 14일 오후 6시쯤 발생한 사이트 해킹공격으로 회원들의 이메일 주소가 유출되었으며, 최대 11만7천800명 정도의 이메일 주소가 유출 된 것으로 추정하고 있습니다.

 

아직까지는 이메일 주소만 유출되었다고는 하지만, 현재 KISA(한국인터넷진흥원)에서 침해사고 조사를 하고 있으니 추가적인 유출정황이 있는지 발표가 나올 것 같습니다.

 

다행인 것은 ID나 비밀번호, 이름, 주민번호 등 중요한 개인정보는 보관하고 있지 않아 유출 되지 않을거 같습니다.

 

 

 

안녕하세요. ‘밀리의 서재입니다.

 

저희 밀리의 서재를 이용해 주시는 회원여러분께 사과 드립니다. 저희 밀리의 서재 2019 6 14일 오후 6시경 발생한 해킹 공격으로 일부 회원님의 이메일 주소 정보가 침해된 사실을 인지했습니다.

 

당사는 개인정보 최소수집 원칙에 따라 SNS로그인과 외부 금융결제 시스템을 이용하고 있으므로, 회원의 ID 및 비밀번호, 성명, 주민등록번호, 카드번호 등 금융정보는 원칙적으로 보관(수집)하지 않고 있습니다.

 

정보의 침해 사실이 있는 회원의 경우 유출정보 내역을 이메일로 통지 드리겠습니다.

 

당사는 위 침해사실 인지 즉시 초기 대응을 실시하여 침해가 확대되는 것을 방지하는 조치를 취했습니다. 이후, 한국인터넷진흥원(KISA)과 방송통신위원회에 본 사실을 신고하고, 관계기관과 긴밀히 협의하여 침해에 대응하고 있습니다.

 

회원님께서는 출처가 불분명한 이메일 수신 시 주의를 기울여 주실 것을 당부 드립니다.

 

항상 밀리의 서재를 믿고 사랑해 주시는 회원 여러분께 심려 끼쳐드린 점에 대해 다시 한 번 고개 숙여 사과 드립니다. 다시는 이러한 일이 발생하지 않도록 관계기관과 협조해 철저히 조사하고, 개인정보 보호에 더욱 만전을 기하겠습니다.

 

‘밀리의 서재 드림.

 

관련문의 연락처 : 밀리의 서재 고객센터 070-7510-5415 /   가기

고객센터 이용 시간 : 평일 오전 10 ~ 오후 8시까지 연장 운영합니다. (점심시간 : 오후 1시 ~ 오후 2)

 

 

새로운 서비스를 런칭하게 되면 보안보다 서비스 확대를 우선적으로 하는 관행으로 이런 보안사고가 계속 발생하고 있는거 같아 안타깝네요.

 

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

 

 

 

 

해킹사고로 2017년 123만여건의 개인정보를 유출된 사건이 있었던 '메가스터디' 교육회사에서 또 다시 해킹사고가 발생하였습니다.

2017년 당시 해킹으로 인해 방통위로부터 과징금 2억 1900만원과 과태료 1000만원을 부과받은적이 있었는데요.

사건이 발생한지 2년도 지나지 않은 시점에서 또다시 이런 사태가 발생을 했습니다. OTL


메가스터디측은 12일 해킹사고가 발생하자 한국인터넷진흥원(KISA)에 신고를 하였고, 그 즉시 대응 및 조사를 진행하고 있는데요.


메가스터디 홈페이지에 가보면 유출사과문이 공개되어있는데, 누구나 쉽게 볼수있게 메인 팝업으로 띄우지 않고 공지가 작게 숨어있습니다.;;
(처음에는 어디에 있는지 찾기가 어려웠네요)

 

 

 

 

아래는 공지로 올라온 '개인정보 유출사고에 대한 안내 및 사과의 말씀' 내용입니다.

 

 

 

 

공지내용을 보면 유출 항목 ID, 이름, 연락처, 생년월일, 이메일, 성별, 암호화된 비밀번호 등 7개 항목이라고 하네요.

 

아직까지 유출경위는 정확히 밝혀지지 않았으나, 2017년에 관리자 세션을 탈취를 해서 사고가 났으니 이 부분은 보안강화를 했을거 같으니 다른공격을 시도했을 듯합니다.

 

아마도 중국IP로부터 의도된 공격이라고 하니, APT공격이 아닐까 추측해봅니다.

 

이번에는

- 얼마나 유출되었을지

- 어떤 취약점으로, 어떻게 경로로 유출되었을지

- 2017년 이후 보안수준이 달라진게 있는지

 

앞으로 나올 기사를 지켜보도록 하겠습니다.

 

 

 

 

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

 

제로페이. 이제 민간사업자가 이끈다! 10개사 참여 확정!

 

 

지금까지 서울시에서 사업을 진행해왔던 제로페이(zeropay)가 이제는 민간 사업들이 이끈다고 합니다.

제로페이를 이끌 민간 사업자들은 아래와 같습니다.

 

- NHN 페이코

- 한국스마트카드

- 기업은행

- 우리은행

- 농협은행

- 대구은행

- 경남은행

- 부산은행

- 전북은행

- 하나금융그룹

 

이제 제로페이는 10여개의 민간기업이 참여하여 이끌게 되며, 제로페이 특수목적법인인 SPC가 발족된다고 합니다.

민간사업자들이 참여를 하는만큼 홍보도 더 많이 하고, 사용처도 더 많이 늘어나지 않을까 싶은데요.

 

지금까지 '관치페이'로 불려왔던 제로페이가 SPC 발족과 함께 어떤 식으로 변화가 있을지 궁금합니다.

 

아마 온/오프라인에서 사용가능한 사용처를 대폭 늘릴것이고, 캐시비, 티머니 등과 같은 교통 분야에도 적용되지 않을까 싶습니다.

 

다만 걱정인부분은 제로페이의 가장 큰 목적이였던 소상공인 수수료를 줄여주는 부분이, 민간사업자들로 넘어가게되면 유지가 될지 조금 올라가게 될지가 변화 포인트가 될 것 같습니다.

 

https://www.zeropay.or.kr/

 

제로페이 | Intro

소상공인 간편결제 제로페이의 가맹점용 홈페이지를 방문해 주셔서 감사합니다. www.zeropay.or.kr은 제로페이 가맹점용 홈페이지입니다. 소상공인의 결제수수료를 경감해주는 제로페이의 많은 이용을 부탁드립니다.

www.zeropay.or.kr

 

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남


방송통신위원회 제7차 위원회 결과(2019년 2월 13일)

- 사이버보험 가입 의무화 조건?!



□ 금일 회의에는 의결 안건 1건, 보고 안건 3건이 상정되었음.

[의결 안건]

가. 「방송법 시행령」 일부개정안에 관한 건(별도 보도자료 참고)

o 수신료 체납 가산금 인하 및 면제 절차 간소화 등으로 국민 부담을 경감하는 내용의 방송법 시행령 일부개정안을 의결함.

o 주요 사항 : 수신료 부과자의 수신료 감액제도 고지 강화, 수신료 체납 가산금 인하(5%→3%), 수신료 면제절차 간소화, 수상기 미소지자의 수신료 환급 근거 신설 등

[보고 안건]

가.「전기통신사업법 시행령」 일부개정안 등에 관한 사항(별도 보도자료 참고)

o 통신분쟁조정제도 도입, 부가통신사업자의 음란정보 유통방지 의무 부과, 전기통신역무 중단시 손해배상 규정 신설 등 「전기통신사업법」 2건이 개정(’19.6.12, ’19.6.25. 시행)됨에 따라 법률 시행에 필요한 사항을 규정하기 위해 「전기통신사업법 시행령」및 하위 고시* 개정안을 마련함.

* 「방송통신위원회 재정 및 알선 등에 관한 규정」, 「금지행위 위반에 대한 과징금 부과 세부기준」

o 시행령 개정안 주요내용

- (통신분쟁조정제도 도입) 통신분쟁조정위원회 구성·운영, 분쟁조정 절차와 방법 등 법률에서 대통령령으로 위임하고 있는 사항을 구체적으로 규정

- (전기통신역무 제공 중단시 이용자 통지규정 마련) 이용자에게 알려야 하는 의무 대상 사업자, 고지 내용·방법 등을 규정하고 손해배상 기준시간 이상 역무 중지 등으로 이용자 손해를 입힌 경우 통지해야 하는 내용방법 등을 규정

- (비필수앱 삭제 부당 제한 행위 관련 금지행위 규정 개정) 현행 시행령 상 규정(비필수앱 삭제 관련 금지행위)이 법률로 상향(법 제50조제1항제8호 신설)됨에 따라 해당 조항 삭제

- (법령 위반 사항에 대한 과태료 부과 기준 마련) 부가통신사업자가「성폭력범죄의 처벌 등에 관한 특례법」제14조에 따른 촬영물 또는 복제물의 유통방지 의무를 위반하여 해당 정보의 삭제, 접속차단 등 필요한 조치를 취하지 아니한 경우와 법 제33조(손해배상) 제2항을 위반하여 이용자에게 전기통신역무의 제공이 중단된 사실과 손해배상의 기준·절차 등을 알리지 아니한 경우 과태료 부과 세부 기준 마련

- (진입 규제 완화에 따른 시행령 개정) 별정통신사업자가 기간통신사업자로 통합(별정통신사업 폐지)됨에 따라, “금지행위의 유형 및 기준(별표4)”, “전기통신사업자 사업의 일부 정지 명령의 기준(별표 5의2)”상 별정통신사업자를 기간통신사업자로 통합ㆍ정비

o 고시(2건) 개정안 주요내용

- (방송통신위원회 재정 및 알선 등에 관한 규정) 사업자와 이용자 간 분쟁은 재정 대상에서 제외됨에 따라 고시 문구 중 “사업자와 이용자 간” 삭제

- (금지행위 위반에 대한 과징금 부과 세부기준) 법 제50조제1항제8호 신설(시행령 법률 상향)에 따른 과징금 부과 상한액에 신설된 조항 추가 

나. 「통신 이용자보호 종합계획(안)」에 관한 사항(별도 보도자료 참고)

o 4차 산업혁명 등 ICT환경변화에 따라 사업자규제 중심에서 이용자중심으로 정책기조를 전환하여 통신서비스 이용자보호를 위한 3개년(’19~’21년) 중장기 정책방안을 담은「통신 이용자보호 종합계획(이하 ‘종합계획’)」을 수립?시행

- 종합계획의 비전을 “국민이 중심이 되는 통지 복지 구현”으로 설정하여, ▲ 통신시장 환경변화에 대응하는 이용자 중심의 보호체계 확립, ▲ 이용자 역량 및 권리 강화, ▲ 상생협력의 공정한 생태계 조성으로 이용자 편익 제고, ▲ 지능정보화시대 이용자 보호 체계 정립의 4대 목표별로 8대 전략, 21개 과제를 선정·제시

다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 등 일부개정안에 관한 사항

o「정보통신망 이용촉진 및 정보보호 등에 관한 법률」및「위치정보의 보호 및 이용 등에 관한 법률」개정(‘18.6.12 공포, ’19.6.13* 시행/’18.12.24. 공포, ’19.6.25 시행**)에 따라, 

* 정보통신서비스제공자등의 개인정보보호 손해배상책임보험 가입 등 의무화 
** 개인정보보호 자율규제 관련 방통위의 시책 마련 및 정보통신서비스 제공자등의 만14세 미만 아동에 대한 법정대리인 동의 여부 확인 

- ‘개인정보보호 손해배상책임보험(공제) 가입 또는 준비금 적립의 기준’, ‘정보통신서비스 제공자등의 개인정보보호 자율규제 활동 지원 등 시책 마련에 필요한 사항’ 및 ‘만14세 미만 아동의 개인정보 보호를 위해 법정대리인 동의 여부를 확인하는 방법’ 등을 신설하는 내용으로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」및「위치정보의 보호 및 이용 등에 관한 법률 시행령」개정안을 마련함 

o 시행령 개정안 주요내용

① 개인정보보호 손해배상책임보험 또는 공제, 준비금 적립 등의 범위 및 기준(정보통신망법 시행령 : 안 제18조의2, 별표 1의3 신설, 별표 9 제2호버목 신설)

- 개인정보가 저장ㆍ관리되고 있는 이용자수가 전년도말 기준 직전 3개월간 일일평균 1,000명 이상인 정보통신서비스 제공자등에 대해 손해배상책임보험이나 공제 가입 또는 준비금 적립을 의무화

- 보험(공제)의 최저가입금액(또는 준비금 최저적립금액)은 사업자가 저장 ·관리하는 ‘이용자수’ 및 ‘매출액’ 규모에 따라 차등 설정하여, 최소 0.5억원~최대 10억원으로 정함(별표 1의3) 

- 보험(공제) 가입 또는 준비금 적립 등 필요한 조치를 이행하지 않은 경우, 위반 횟수와 무관하게 과태료 2천만원 부과 


② 개인정보보호의 촉진 및 지원(정보통신망법 시행령 : 안 제16조의2 신설)

- 정보통신서비스 제공자등의 자율적인 개인정보보호 활동의 촉진·지원을 위해 방송통신위원회가 자료제출 요청 및 의견수렴, 행정적·재정적 지원, 정보통신서비스 제공자단체 등의 개인정보보호 활동계획의 이행결과 평가 등을 할 수 있는 근거 마련

③ 법정대리인 동의의 확인방법(정보통신망법 시행령 : 안 제17조의2 신설 및 위치정보법 시행령 : 안 제27조의2 신설)

- 정보통신서비스 제공자등과 위치정보사업자등이 만 14세 미만 아동의 개인(위치)정보 수집·이용·제공을 위해 법정대리인이 동의하였는지를 확인하는 방법으로써, 휴대전화 메시지·신용카드 등을 통한 확인(인터넷사이트를 통한 동의의 경우), 서면, 전화, 전자우편, 그밖에 이에 준하는 방법을 활용하도록 규정 

o 향후 개정안은 입법예고를 통해 각계 의견을 수렴하는 등 개정절차를 거칠 예정임. 끝



이번 발표에서 눈에 띄는 부분은 사이버보험 가입 의무화(개인정보보호 손해배상책임보험(공제) 가입 또는 준비금 적립의 기준)에 대한 내용이였는데요.

작년부터 사이버보험 가입 의무화에 대한 조건에 대한 궁금증이나 실효성에 대한 이야기가 많았습니다.

 ① 개인정보보호 손해배상책임보험 또는 공제, 준비금 적립 등의 범위 및 기준(정보통신망법 시행령 : 안 제18조의2, 별표 1의3 신설, 별표 9 제2호버목 신설)

- 개인정보가 저장ㆍ관리되고 있는 이용자수가 전년도말 기준 직전 3개월간 일일평균 1,000명 이상인 정보통신서비스 제공자등에 대해 손해배상책임보험이나 공제 가입 또는 준비금 적립을 의무화

- 보험(공제)의 최저가입금액(또는 준비금 최저적립금액)은 사업자가 저장 ·관리하는 ‘이용자수’ 및 ‘매출액’ 규모에 따라 차등 설정하여, 최소 0.5억원~최대 10억원으로 정함(별표 1의3) 

- 보험(공제) 가입 또는 준비금 적립 등 필요한 조치를 이행하지 않은 경우, 위반 횟수와 무관하게 과태료 2천만원 부과 


간략하게 내용을 요약해보면...

2019년 6월 13일부터 개인정보 저장 및 관리되는 이용자수가 3개월간 일평균 1,000명 이상인 정보통신서비스제공자는 사이버침해사고로 인해 발생하는 손해배상 책임 이행을 위하여 의무적으로 보험 또는 공제에 가입하거나 준비금을 적립해야 한다는 내용

당장 눈에 띄는 의문은 과연 1,000명이라는 기준인데요.

천명이상 개인정보를 저장 및 관리하는 모든 대상은 엄청 많을 것으로 추측이 되는데 이 모든 대상에게 보험가입을 의무화 한다는게 현실적으로 가능할지가 의문입니다.

- 개인이 운영하는 홈페이지 조차 회원가입을 받을 경우 대상에 포함이겠죠?

- 소셜로그인을 적용해도, 수집하는 정보가 개인정보급(?)이면 대상에 포함이겠죠?


보험가입 비용이 최소 몇천만원(최소 5천만원) 이상이 매년 발생할 텐데(가입자수에 따라 비례하여 금액 증가), 수익발생이 미비한 경우 가입할 여력이 없을 것 같습니다. 게다가 

"보험(공제) 가입 또는 준비금 적립 등 필요한 조치를 이행하지 않은 경우, 위반 횟수와 무관하게 과태료 2천만원 부과" 한다고 하니 과연 영세한 사업자들은 어떻게 대응해야 할지 걱정이 앞설 듯 합니다.


제 개인적으로 생각으로는 위원회에서는 1,000명 이상으로 기준을 잡았지만, 많은 반발로 인해 1만명이상으로 변경하지 않을까 생각이 듭니다.





방송통신위원회는 4일 열린 제22회 국무회의에서 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부 개정령안’과 ‘위치정보의 보호 및 이용 등에 관한 법률 시행령 일부개정령안’이 통과되었다고 합니다.


결국 앞으로 매출 5000만원, 1000명 이상의 개인정보를 보유한 기업은 ‘사이버보험’을 의무로 가입해야하네요. 


많은 회사들이 보험에 대한 부담이 커지겠네요. 


블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

가상화폐 거래에 대한 규제관련 이야기가 많이 나오더니 결국 정부 입법으로 국회에 제출한다는 내용까지 나왔네요


http://the300.mt.co.kr/newsView.html?no=2017121116397695211

(기사 제목이 왜 가상화폐가 아니라 비트코인으로 한정해서 이야기 해놨지??)



비트코인 등 가상통화규제 시안 주요내용

(유사수신행위규제법 개정안)


- 가상통화를 거래하거나 가상통화 거래로 가장해 금전을 받는 행위를 유사수신행위로 정의

- 가상통화 발행 행위, 보관 관리 취득 교환 매매 알선 또는 중개업 가상통화거래행위로 정의

- 가상통화 거래 원칙적 금지하되 예치금 별도예치, 실명확인, 자금세탁방지 등 보호장치시 적용 예외

- 가상통화 발행으로 투자금 또는 다른 가상통화 조달행위, 신용공여, 시세조종 등 금지

- 유사수신행위/가상통화거래 범죄행위로 얻은 금전/이익 몰수 추징



기존 유사수신행위의 규제에 관한 법류(약칭:유사수신행위법)

의 내용은 아래 링크를 참고하시면 됩니다. 


유사수신행위의 규제에 관한 법률 보기


한동안 가상화폐거래 관련하여 많은 변화가 있겠네요. 

블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

최근 Bithumb 직원 PC의 해킹사건으로 개인정보가 유출되었던 사실을 많은 분들이 기사를 통해 접하셨을 것 같습니다.


그런데 어처구니 없게도, 유출된 정보 리스트를 실수로 다른사람한테 전달하면서 외부에 공개가 되어버렸네요..

- 유출된 정보 : 휴대폰번호, 이름, 이메일 등


관련 기사 : http://www.boannews.com/media/view.asp?idx=55641


익명으로 글을 올릴 수 있는 PASTEBIN에 아래와 같이 내용이 올라와있어 2차피해가 우려가 되네요. 


개인정보가 유출된 대상들에게 10만원씩 보상을 해준다고는 하지만, 2차피해를 막기위해서 피해가 발생한 분들께서 개인적으로도 비번변경 등의 보안강화 작업을 해야 할 것 같습니다.


[ Update ]

처음 해킹이 발생했을 때 이야기 되었던 일반직원 PC해킹이 아니라 비상임이사의 PC가 털려서 개인정보 뿐만 아니라 회사정보까지 유출되었다고 하는군요 -_-;; 

이미 Dropbox에 자료도 올라가 있고.. 심각하네요.

- 재무정보, 투자정보, 업무리스트 등등;;;


http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=016&aid=0001264325


블로그 이미지

BlueBell_ NINEx

일상과 IT의 만남

-->