주 콘텐츠로 건너뛰기

공지사항

    [보안 권고] 온라인 서비스 개인정보 유출 사고에 따른 피싱·스미싱 등 후속 공격 주의 및 대응 권고

  • 만듦 :
  • 편집된 시간 :

    • 1. 개요

    2026년 6월 국내 특정 온라인 서비스 제공업체의 회원 정보 저장 데이터베이스(DB)에 신원 미상의 공격자가 비인가 접근하여 데이터를 유출한 정황이 확인되었습니다.

    유출된 정보에는 사용자 아이디, 이름, 생년월일, 성별, 본인확인 정보 등 기본 가입 항목뿐만 아니라, 일부 암호화 보호 처리가 된 휴대폰 번호, 이메일 주소, 환불 계좌번호 및 로그인 비밀번호가 포함되어 있습니다.

    비밀번호와 주요 금융 정보가 암호화되어 있더라도, 공격자는 유출된 신원 조각들을 조합하고 가공하여 피싱, 스미싱, 계정 탈취(Account Takeover), 사회공학적 금융 사기 등 대규모 후속 공격을 감행할 가능성이 매우 높으므로 사용자 및 기업 보안 관리자의 각별한 주의와 선제적 대응을 권고합니다.

     

    2. 예상 위협 시나리오 (2차 공격 유형)

    공격자는 확보한 가입 정보와 연락처를 기반으로 다음과 같은 형태의 후속 공격을 시도할 수 있으므로 징후 탐지에 유의해야 합니다.

    • 유출 정보 기반 사칭 스미싱(SMS) 문자 발송


    - 유출된 이름과 휴대폰 번호를 악용하여 이번 유출 사고와 관련된 '개인정보 유출 여부 확인 안내', '보상금 지급 신청 및 접수', '계정 일시 잠금에 따른 보호 조치' 등을 사칭한 타깃형 문자를 발송합니다.
    - 메시지 내에 악성 URL 클릭을 유도하는 링크를 첨부하여, 이를 누른 사용자의 스마트폰에 악성 앱(APK)을 설치하고 기기 제어권 및 금융 정보를 탈취합니다.
     

    • 표적형 피싱 이메일 유포
       

    - 유출된 이메일 계정을 대상으로 비밀번호 재설정이나 보안 인증이 필요하다는 거짓 안내 메일을 대량 유포합니다.
    - 정상 서비스와 정교하게 유사하게 제작된 가짜 로그인 페이지(Phishing Page)로 연결하여, 사용자가 실제로 이용 중인 타 서비스의 계정 정보까지 추가로 수집합니다.
     

    • 크리덴셜 스터핑(Credential Stuffing)을 통한 계정 탈취
       

    - 유출된 아이디와 비밀번호 조합(암호화 해독 시도 포함)을 포털 사이트, 금융 앱, 기업 업무 시스템 등에 무차별적으로 대입합니다. 사용자가 여러 웹사이트에 동일한 비밀번호를 재사용하는 허점을 노려 타 서비스의 계정까지 연쇄적으로 탈취합니다.
     

    • 사회공학 기반 금융 사기 (보이스피싱 등)
       

    - 이름, 생년월일, 성별 등 신원 정보가 명확히 확인된 점을 신뢰 형성의 도구로 악용하여 고객센터, 금융기관, 혹은 공공기관을 사칭합니다. 피해자의 의심을 무력화한 후 금전을 요구하거나 추가적인 금융 인증 정보를 가로채는 행위를 수행합니다.
     

    3. 대응 및 권고 행동 요령

     

    A. 일반 사용자 권고 사항

     

    • 주요 서비스 계정 비밀번호 변경 (필수)


    - 유출된 계정과 동일하거나 유사한 이디/비밀번호를 사용하는 모든 웹사이트 및 포털의 비밀번호를 즉시 변경하여 연쇄적인 계정 탈취 공격을 방지하십시오.
     

    • 다중 인증(MFA) 활성화
       

    - 주요 포털, 금융, 업무용 계정에 로그인 시 2차 인증(SMS 인증, OTP, 생체 인증 등)을 필수적으로 설정하여, 비밀번호가 노출되더라도 계정이 보호되도록 조치하십시오.
     

    • 출처가 불명확한 URL 클릭 및 앱 설치 금지
       

    - 사고 보상안 안내 등을 사칭하여 문자나 메일로 전달된 링크(URL)는 절대 클릭하지 마십시오. 공식 앱 마켓이 아닌 외부 출처에서 다운로드한 파일(.apk 등)은 절대 설치해서는 안 됩니다.
     

    • 개인정보 입력 및 인증 요청에 대한 신중한 검증
       

    - 유선상으로 이름과 생년월일을 확인해 주며 카드번호, 계좌번호, 주민등록번호, OTP 인증번호 등을 요구하는 경우 대응하지 말고 즉시 통화를 종료한 뒤, 해당 기관의 공식 고객센터를 통해 사실 여부를 확인하십시오.
     

    B. 기업 보안 관리자 권고 사항

     

    • 임직원 대상 피싱·스미싱 주의 공지 수행
       

    - 사내 임직원을 대상으로 유출 사고 사칭 메일 및 문자에 대한 주의를 환기하고, 의심스러운 보안 위협 유입 건은 사내 보안 부서로 즉시 신고하도록 내부 공지 정책을 가동하십시오.
     

    • 이메일 및 웹 보안 정책 강화
       

    - 사내 시스템으로 유입되는 이메일에 대해 스팸 필터링 및 악성 URL 차단 정책(DMARC, SPF, DKIM 등)을 재점검하고 보안 탐지 강도를 상향하십시오.
     

    • 임직원 계정 정보 재사용 여부 점검
       

    - 사내 임직원이 사설 외부 서비스 가입 시 업무용 이메일 계정 및 사내 포털과 동일한 비밀번호를 혼용했는지 여부를 점검하고, 업무 계정의 비밀번호 변경을 권고하거나 강제화하십시오.
     

    • 이상 로그인 및 인증 시도 모니터링 강화
       

    - 사내 VPN, 클라우드 콘솔, 협업 툴을 대상으로 평소와 다른 자격 증명 시도, 해외 IP 혹은 비인가 단말에서의 접근, 반복적인 로그인 실패 로그 등 이상 징후 분석을 대폭 강화하십시오.
     

    ■ 침해사고 발생 또는 의심 시
     

    침해사고가 확인되거나 의심되는 경우, 신속한 대응을 위해 한국인터넷진흥원 인터넷침해대응센터(KrCERT) 또는 관할 기관을 통해 신고해 주시기 바랍니다.

    한국인터넷진흥원 인터넷침해대응센터 종합상황실: 02-405-4911~5, certgen@krcert.or.kr
    ['KISA 인터넷보호나라&KrCERT' 홈페이지] → 침해사고 신고

    관련 문서

    목차