취업 준비하고 영화 봤을 뿐인데…줄줄이 새는 개인정보
[디지털데일리 김보민기자] 진학사 채용 플랫폼 '캐치'에서 개인정보 유출 사고가 발생했다. 공격자는 홈페이지를 해킹해 회원 이름과 이메일 등 데이터 7종을 탈취했다. 캐치는 사과문을 게시하며 피싱 등 2차 피해가 발생할 수 있다고 안내했다.
이러한 분위기 속 불법 영화 스트리밍 앱을 통해 스팸문자가 발송되고 있다는 경고도 나왔다. 해당 앱을 통해 개인정보가 탈취됐을 가능성이 제기되면서 불법적인 경로로 영상 시청을 지양해야 한다는 목소리도 커지고 있다.
오픈소스 파이썬 패키지 라이트LLM(LiteLLM)이 공급망 공격으로 해킹돼 다수 기업 환경에 영향을 미쳤을 가능성도 점쳐졌다. 공격자는 정상 패키지에 코드를 삽입해 클라우드자격증명, API 키 등 민감 정보를 탈취하고 접근 경로를 확보한 것으로 분석된다. 피해 규모는 확인되지 않았지만 일각에서는 2·3차 피해로 이어질 수 있다고 경고했다.
◆ 해킹으로 회원정보 유출…캐치 "피싱·스미싱 주의 필요"
캐치는 24일 홈페이지와 문자를 통해 '개인정보 유출 안내 및 사과문'을 배포했다. 캐치는 "3월20일 오후 3시15분부터 23일 오전 11시까지 해커 홈페이지 공격으로 캐치 회원 개인정보 일부가 유출되는 사고가 발생했다"고 공지했다. 유출된 개인정보는 이름, 생년월일, 휴대전화번호, 주소, 이메일, 아이디(ID) 및 내부 회원관리 데이터였다.
캐치는 유출 의심 정황을 인지한 즉시 해커가 접근한 페이지 운영을 중단했다고 강조했다. 이어 "인터넷프로토콜(IP) 등 경로를 차단했고 보안 패치를 적용했다"며 "이번 사고를 엄중히 인식하고 있고, 개인정보보호 및 보안 체계 전반을 재점검해 재발 방지 대책을 강화하겠다"고 말했다. 이어 "관계기관과 협조해 진행 상황을 투명히 안내하겠다"고 약속했다.
유출 정보에 비밀번호가 포함돼 있지 않지만, 2차 피해 가능성을 배제할 수 없다고도 시사했다. 캐치는 "유출 개인정보를 이용한 피싱, 스미싱, 파밍 등이 발생할 수 있으니 각별한 주의를 부탁드린다"며 "불안하신 고객께서는 비밀번호 변경 등 조치를 취해주시기 바란다"고 안내했다.
◆ "동의 없이 스팸 발송"…불법 스트리밍 앱 정보탈취 주의
불법 스트리밍 앱을 활용해 개인정보를 탈취하려는 시도도 포착됐다. 한국인터넷진흥원(KISA)은 25일 권고문을 통해 "최근 정식 앱마켓을 통하지 않은 악성 불법 스트리밍 앱을 통해 사용자 동의 없이 도박 문자 등 불법 스팸 문자가 발송되는 사례가 탐지되고 있어 주의가 필요하다"고 밝혔다.
그 예시로 티비위키(TVWIKI)를 들었다. 티비위키는 무료로 영화, 드라마, 예능 등을 볼 수 있는 불법 스트리밍 앱이다. KISA는 이러한 앱을 설치하는 과정에서 연락처 등 과도한 권한을 요구하고 있고 사용자 인지 없이 악성 기능을 수행할 가능성이 있다고 경고했다.
◆ "API 키·자격증명 털렸다"…라이트LLM 공급망 피해 확산
이러한 가운데 오픈소스 파이썬 패키지 라이트LLM이 공급망 공격으로 해킹됐다는 소식이 나왔다. 악성 코드가 포함된 버전은 24일 약 2시간 동안 배포됐다. 소나타입에 따르면 이 기간 해당 패키지는 다수 개발 및 클라우드 환경에 설치된 것으로 추정된다. 다운로드 규모가 큰 만큼 피해가 상당할 가능성도 점쳐진다.
이번 사건은 소수 유지관리자에 의존하는 오픈소스 생태계의 구조적 취약성을 다시 드러냈다. 공격자는 정상 패키지에 악성코드를 삽입해 광범위한 조직 환경으로 침투할 수 있는 경로를 확보했다. 삽입된 악성코드는 클라우드 자격증명, API 키, 암호화폐 지갑 등 민감 정보를 탈취하고 추가 침투를 위한 접근 기능까지 확보하도록 도왔다.
피해 규모는 확인되지 않았다. 위즈리서치를 비롯한 전문가들은 탈취된 정보가 재사용될 경우 2·3차 피해로 이어질 수 있다고 입을 모았다. 이번 사건이 단발성이 아닌 지속적 공격 캠페인 일환일 가능성이 크다고도 경고했다.
Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.