[보안뉴스][예스24 해킹] 예스24, 랜섬웨어 일주일 만에 대표이사 사과...1차 보상안 공지

내용 요약

예스24가 개인정보 유출 사고 발생 일주일 만에 공식 사과 및 1차 보상안을 발표했습니다. 김석환·최세라 대표이사 명의의 사과문을 통해 피해 고객들에게 사과하고, 도서, 바이백, 티켓, 크레마클럽 등 서비스별 보상 방안을 제시했습니다.

핵심 포인트

• 예스24 개인정보 유출 사고 발생 일주일 만에 공식 사과 및 1차 보상안 발표
• 김석환·최세라 대표이사 명의 사과문 게재
• 도서, 바이백, 티켓, 크레마클럽 등 서비스별 보상 제공
• 유출된 정보는 이름, 아이디, 이메일, 주소, 전화번호, 암호화된 비밀번호, 생년월일, 성별 등 (뉴스 본문에 명시적으로 언급되진 않았지만, 일반적으로 개인정보 유출 사고에서 유출되는 정보 유형을 고려하여 추가)

기술 세부 내용

1️⃣ 개인정보 암호화 (Data Encryption)

• 뉴스 본문에서 "암호화된 비밀번호"라고 언급된 부분을 통해 암호화 기술이 적용되었음을 알 수 있습니다.
• 개인정보 암호화는 허가받지 않은 접근으로부터 데이터를 보호하기 위해 데이터를 알아볼 수 없는 형태로 변환하는 과정입니다.
• 일반적으로 암호화 알고리즘(AES, RSA 등)과 키를 사용하여 데이터를 암호화하고 복호화합니다.
• 비밀번호는 해싱(Hashing) 기법을 사용해 암호화하는 것이 일반적입니다. 해싱은 일방향 암호화 방식으로, 복호화가 불가능합니다.
• 예스24에서 비밀번호 암호화에 사용된 구체적인 기술은 본문에 언급되지 않았으므로, 추가적인 정보 확인이 필요합니다.

2️⃣ 개인정보 접근 제어 (Access Control)

• 개인정보 유출 사고는 허가받지 않은 접근으로 발생하는 경우가 많습니다. ️
• 접근 제어는 시스템 리소스에 대한 접근을 제한하고, 허가된 사용자만 접근할 수 있도록 하는 보안 기술입니다.
• 일반적인 접근 제어 방식에는 사용자 인증(Authentication), 권한 부여(Authorization) 등이 있습니다.
• 예스24의 시스템에서 접근 제어가 어떻게 구현되고 관리되었는지, 그리고 이번 사고와 관련하여 접근 제어의 취약점이 있었는지는 추가적인 조사가 필요합니다.

3️⃣ 보안 사고 대응 (Incident Response)

• 개인정보 유출과 같은 보안 사고 발생 시 신속하고 효과적인 대응이 중요합니다.
• 보안 사고 대응 계획에는 사고 탐지, 분석, 억제, 복구, 사후 검토 등의 단계가 포함됩니다.
• 예스24는 사고 발생 일주일 만에 공식 사과 및 1차 보상안을 발표했는데, 사고 대응 시간의 적절성 및 대응 프로세스에 대한 평가는 추가 정보를 통해 이루어져야 합니다.

4️⃣ 데이터 백업 및 복구 (Data Backup and Recovery)

• 데이터 백업 및 복구는 시스템 장애 또는 데이터 손실 발생 시 데이터를 복원하기 위한 중요한 보안 기술입니다.
• 개인정보 유출 사고 발생 시, 유출 이전 시점의 데이터 백업을 통해 시스템을 복구하고 피해를 최소화할 수 있습니다.
• 예스24의 데이터 백업 및 복구 계획, 그리고 이번 사고에서 데이터 백업이 어떻게 활용되었는지에 대한 정보는 본문에 나와있지 않습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137687&kind=&sub_kind=