취업 플랫폼 인크루트에서 또 한번 개인정보 유출 사고가 발생했다. 다만 피해 규모와 해킹 수법 등은 조사 중이다.
11일 관련업계에 따르면 지난 8일 오후부터 인크루트는 가입자들에게 "외부 공격에 의해 일부 고객 정보가 유출된 정황이 확인됐다"는 내용의 이메일을 보냈다.
유출 시점과 경위 파악중…규모도 아직 몰라
인크루트는 개인정보의 정확한 유출 시점과 경위는 관계 기관인 개인정보보호위원회(이하 개인정보위)와 협조해 조사 중이라고 알렸다.
유출이 의심되는 개인정보 항목으로 성명, 생년월일, 성별, 휴대전화 번호 등이 포함되며, 개인별로 유출된 정보 항목에는 차이가 있을 수 있다.
회사는 관련 IP 차단, 시스템 취약점 점검 및 보완, 시스템 모니터링 강화를 완료했다고도 덧붙였다. 또 피싱, 스미싱, 악성코드 등 2차 피해 가능성이 높아진 만큼 고객들에게 출처가 불분명한 전화, 메시지, 이메일 등에 각별한 주의를 당부했다.
인크루트는 이번 사건을 계기로 정보 보호 투자를 확대하고, 최신 보안 기술을 도입하는 등 전사적인 보안 강화를 추진할 계획이라고 말했다. 또한, 보안 정책을 강화하고 보안 전문 인력을 보강하는 등 종합적인 대응 방안을 마련할 것이라고 밝혔다. 아울러 고객 및 관계 기관과의 투명한 소통을 지속해 추가 피해 방지 및 예방에 최선을 다하겠다고 강조했다.
2020년 이후 또 해킹 발생...취준생 "해킹 관련 공지 미흡"
인크루트는 2020년 9월 발생한 회원 개인정보 3만5천76건 유출사고로 2023년 7월에도 개인정보위로부터 과징금 7천60만원과 과태료 360만원을 부과받은 적 있다.
당시 인크루트 측은 "개인정보 보호조치를 제대로 이행하지 않은 것은 아니고, '크리덴셜 스터핑' 공격을 차단하기 위한 침입 탐지나 차단 정책이 없었던 것도 아니다"라고 다소 억울해했다. 크리덴셜 스터핑 공격은 개인의 크리덴셜(인증정보)를 불법으로 수집한 후 이를 기반으로 다른 웹서비스에 무작위 로그인하는 사이버 공격 수법이다.
이후 인크루트는 2023년 7월 구직자 개인정보 보호를 위해 개인정보위와 민관 협력 자율규제 규약에 서명하고, 법적 의무 사항 외에도 추가적 안전조치를 이행해 우수 사례를 창출해왔다.
당시 인크루트는 개인정보 안전조치를 위해 개인정보가 포함된 파일을 다운로드 시 파일 암호화 설정을 강제 적용하고, 또 기업회원과 개인회원에게 해외 IP 로그인 차단 설정 기능과, 2차 인증을 개인회원까지 확대 적용했다.
관련기사
- '블랙야크' 보안 뚫렸다...개인정보 34만 건 유출2025.03.06
- GS샵에서 가입자 개인정보 158만건 유출2025.02.27
- SK스토아·동행복권, 개인정보 유출로 과징금 19억원2025.01.24
- 과징금 폭탄 맞은 인크루트, 개인정보위 제재 사유 반박2023.07.13
회사 측은 아직 정확한 피해 규모나 수법 등이 밝혀지지 않은 만큼, 추가적인 확인 사항이 있을 경우 가입자들에게 즉시 공지하겠다고 밝혔다.
다만 취업준비생들 가입자들에게 해킹 사실을 알리기 위한 노력이 부족하다고 토로했다. 인크루트 해킹 관련 안내는 홈페이지 PC버전 오른쪽 하단에 작은 글씨의 팝업으로 게재돼 있으며, 앱에서는 어떤 공지도 찾아볼 수 없다는 지적이다.
