[더팩트｜우지수 기자] 머스트잇이 최근 고객 개인정보가 유출된 사실을 인정하고 공식 사과문을 발표했다. 유출 가능성이 있는 개인정보는 이름, 휴대전화번호, 주소 등 9가지다.

머스트잇은 지난 25일 자사 홈페이지 공지사항을 통해 "머스트잇을 믿고 이용해주신 고객 여러분께 깊은 우려와 불편을 드리게 된 점 진심으로 사과드린다"며 "고객님의 소중한 개인정보 보호를 최우선 가치로 삼고 철저한 보안 체계를 운영해왔다"고 밝혔다.

머스트잇에 따르면 지난 23일 한국인터넷진흥원(KISA)으로부터 개인정보 침해 정황을 통보받은 뒤 자체 점검을 실시했다. 점검 결과 총 두 차례에 걸친 비정상 접근이 확인됐다. 첫 시도는 지난 5월 6일부터 14일까지 특정 API를 대상으로, 두 번째는 6월 9일 동일 경로를 통한 접근이다.

해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조로 머스트잇 측은 "사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다"며 "사고를 인지한 즉시 개인정보보호위원회와 KISA에 신고했다"고 설명했다.

머스트잇이 밝힌 유출 가능 개인정보는 △회원번호 △아이디 △가입일 △이름 △생년월일 △성별 △휴대전화번호 △이메일 △주소 등 최대 9개 항목이다. 탈퇴 회원 정보는 포함되지 않았다. 이용자는 로그인 후 유출 여부와 항목을 조회할 수 있다.

머스트잇 측은 현재 인증된 사용자만 접근 가능한 폐쇄형 업무망 운영, 전용 PC를 통한 민감정보 접근, 관리자 계정의 최소 권한 및 다중 인증 적용, 외부 위협 차단 시스템 운영 등 상시 보안 통제 체계를 유지하고 있다고 설명했다.

또한 기존 API를 폐기하고, 신원 확인 절차를 거친 요청에만 개인정보 열람이 가능한 구조로 변경했다. 이 인증 구조는 개인정보 반환을 포함한 전체 API로 확대 적용 중이다.

머스트잇 측은 "전체 시스템 보안 점검을 완료했으며 유사 취약점에 대한 일괄 보완 작업도 병행하고 있다"며 "보이스피싱이나 스미싱 등 2차 피해 예방을 위해 의심스러운 연락에 각별히 주의하고, 관련 계정의 비밀번호를 변경해달라"고 당부했다.

끝으로 "이번 사고를 무겁게 받아들이고 있으며 고객 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나가겠다"며 "신뢰받는 플랫폼이 되기 위해 최선을 다하겠다"고 덧붙였다.

index@tf.co.kr