머스트잇, 회원 이름·전화번호 등 9개 개인정보 유출…“시스템 설계 오류 때문”

머스트잇 홈페이지 캡쳐

26일 머스트잇은 자사 홈페이지에 “최근 시스템상의 설계 오류로 인해 개인정보 유출 사고가 발생했다”며 공지를 게재했다.

유출된 항목은 회원번호, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화 번호, 이메일, 주소 총 9개 항목이다.

탈퇴 회원의 정보는 유출되지 않았다.

머스트잇 관계자는 “고객 보호와 재유출 방지를 위해 정보 유출이 의심되는 대상 고객들에게는 개별 안내를 완료했다”며 “관계 기관이 정확한 유출 규모를 파악하고 있다”고 말했다.

머스트잇의 개인정보 유출은 지난달 6~14일과 이달 9일 두 차례에 걸쳐 발생했다.

애플리케이션 프로그래밍 인터페이스(API)를 파고든 개인정보 유출이다.

API는 서로 다른 인터넷 소프트웨어끼리의 통신과 데이터 공유를 돕는 기능을 한다.

이 때문에 해킹이나 정보 유출의 표적이 되는 경우가 많다.

한국인터넷진흥원(KISA)가 이 같은 개인정보 침해 정황을 확인하고 지난 23일 머스트잇에 통보했다.

머스트잇은 “해당 API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였다”며 “사고 인지 즉시 해당 취약점을 차단하고, 전면적인 보안 조치를 완료했다”고 밝혔다.

이번 사고 이후 머스트잇은 전체 시스템에 대한 보안 점검과 보완 작업을 진행했다고 설명했다.

머스트잇은 “이번 사고를 무겁게 받아들이고 있으며, 고객 개인정보를 더욱 철저히 보호하기 위한 기술·관리 보안 강화 조치를 지속적으로 강화하겠다”고 밝혔다.

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]