채용 플랫폼 ‘캐치’ 해킹 사고… “이름·비번은 살았지만 휴대전화 등 7종 유출”

20일부터 사흘간 '캐치캠퍼스' 보안 취약점 악용해 데이터 추출 시도 발생

캐치 홈페이지 갈무리.

 
채용 플랫폼 ‘캐치(Catch)’를 운영하는 진학사가 신규 서비스 운영 과정에서 보안 취약점이 노출돼 이용자 개인정보가 유출되는 사고를 겪었다.

24일 진학사에 따르면 이번 유출 사고는 지난 3월 20일 오후 03시 15분부터 3월 23일 오전 11시 사이에 발생했다. 외부 해커가 신규 서비스인 ‘캐치캠퍼스’ 특정 페이지의 기술적 결함을 악용해 비인가 접근을 시도하고 데이터를 추출한 것으로 파악됐다.

사측은 주말이 지난 뒤인 23일 오전 10시쯤, 출근 후 진행한 사이트 모니터링 과정에서 통상적인 범위를 벗어난 비정상적 접근 로그를 발견하며 사고를 인지했다.

◆ 유출 항목 7종 확인… 이름·비밀번호는 제외

이번 사고로 유출된 정보는 성별, 생년월일, 휴대전화 번호, 주소, 이메일, ID 및 회사 내부 회원관리 데이터 등 총 7종이다. 다행히 성명과 비밀번호는 유출 범위에 포함되지 않은 것으로 확인됐다.

캐치 측은 사고 인지 즉시 해당 페이지 운영을 중단하고 보안 패치 적용을 완료했다. 또한 사고 당일인 23일 한국인터넷진흥원(KISA)에 침해사고 신고를 마쳤으며, 현재 경찰에 정식 수사를 의뢰해 협조 중이다.

◆ 2차 피해 주의… “모르는 문자 링크 클릭 금지”

캐치는 이날부터 유출 대상 회원들에게 개별 통지 및 홈페이지 공지를 시작했다. 회원마다 유출된 정보가 다를 수 있는 만큼, 홈페이지 내 전용 조회 페이지를 통해 상세 내용을 확인할 수 있도록 조치했다.

전문가들은 유출된 휴대전화 번호와 이메일을 활용한 스미싱, 피싱 등 2차 피해 가능성을 경고한다. 캐치 관계자는 “비밀번호가 유출되지는 않았으나 보안 강화를 위해 변경을 권고한다”며 “피싱 등이 의심되는 경우 경찰청(112)이나 신고대응센터(1394)로 즉시 제보해달라”고 당부했다.

진학사는 이번 사안을 엄중히 인식하고 개인정보 보호 체계 전반을 재점검하겠다는 방침이다. 특히 신규 서비스 출시 과정에서의 보안 검증 프로세스를 강화해 향후 유사 사례가 재발하지 않도록 대책을 마련할 계획이다. 상세한 사고 내역은 관련 기관의 조사 결과에 따라 추가 업데이트될 예정이다.

양다훈 기자 yangbs@segye.com