명품 플랫폼 머스트잇이 고객 개인정보 해킹 피해를 입었다.머스트잇은 26일 “23일 한국인터넷진흥원(KISA)을 통해 개인정보 침해 정황을 통보받았다”며 “자체 점검 결과 5월 6~14일, 6월 9일, 2차례의 비정상 접근 시도가 있었던 것으로 확인됐다”고 밝혔다.
머스트잇에 따르면 5월 6~14일 특정API에 대한 대량의 비정상 접근 시도가 발생했으며 6월 9일에는 동일한API경로를 통한 2차 시도가 감지됐다.
해당API는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였다.머스트잇은 “사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다”며 “사고를 인지한 즉시 관련 기관(개인정보보호위원회 및KISA)에 신고했다”고 말했다.
유출 가능성이 있는 개인정보 항목은 회원번호, 아이디, 가입일, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소 등이다. 탈퇴 회원의 정보는 포함되지 않았다.
머스트잇 홈페이지에서는 본인 정보가 유출됐는지 여부, 혹은 유출된 항목 등을 조회할 수 있다. 머스트잇은 해당 사건 이후 전체 시스템에 대한 보안 점검을 완료했다.
유사한 취약점에 대해서도 일괄적인 보완 작업을 진행 중이다. 인증되지 않은 특정 경로에 대한API요청을 제한하고 비정상 접근에 대한 로그 감시 체계를 강화했다.
머스트잇은 “문제가 된 기존API는 폐기하고 신원 확인을 거친 요청에만 개인정보 열람이 가능하도록 새로운 인증 구조의API로 교체했다”며 “해당 방식을 개인정보를 반환하는 전체API로 확대 적용하고 있다”고 설명했다.
그러면서 “이번 사고를 무겁게 받아들이고 있으며 고객님의 개인정보를 더욱 철저히 보호하기 위한 기술적·관리적 보안 강화 조치를 지속적으로 강화해 나가겠다”며 “다시 한 번 깊은 사과의 말씀을 드리며 신뢰받는 플랫폼이 되기 위해 최선을 다하겠다”고 밝혔다.
앞서 디올, 티파니코리아, 아디다스 등도 고객정보 유출 피해를 입었다.