공안부: VNG 회사, 고객 계정 1억 6,300만 개 이상 노출

VNG 회사가 1억 6,300만 개 이상의 고객 계정을 공개했다는 정보는 개인정보 보호법 제정을 위한 초안의 일부로, 공안부가 개인정보 보호와 관련된 사회 관계의 현황을 평가한 보고서에서 명시적으로 언급했습니다.

공안부는 사이버 공간에서 개인정보 유출이 빈번하게 발생한다고 밝혔습니다. 사용자들은 개인정보 보호 의무를 인지하지 못하고, 개인정보를 공개적으로 게시하거나, 사업 목적으로 전송, 저장, 교환하는 과정에서 개인정보를 노출하거나, 보호 조치 미비로 인해 개인정보가 도용되거나 공개적으로 게시되는 경우가 빈번하게 발생합니다.

공안부는 평가 보고서에서 몇 가지 대표적인 사례를 열거했습니다. " VNG 회사는 1억 6,300만 개 이상의 고객 계정을 노출시켰습니다. 모바일 월드와 디엔 메이 잔 회사는 고객의 500만 개 이상의 이메일과 비자 및 신용 카드와 같은 수만 개의 지불 카드 정보를 노출했습니다. 해커는 베트남 항공의 서버 시스템을 공격하여 골든 로터스 프로그램 회원의 411,000개 고객 계정을 인터넷에 게시했습니다 ."

공안부는 SMS 메시지를 통해 고객을 유치하기 위해 베트남 택시 서비스 중개 회사에 고객 정보가 유출되고, FPT 회사의 고객 데이터가 온라인에 공개되는 상황도 언급했습니다.

공안부에 따르면, 개인정보 매매는 현재 널리 퍼져 있으며, 원시 데이터와 가공된 개인정보가 함께 거래되고 있습니다. 하지만 법적 규제가 부족하여 많은 행위가 제대로 처리되지 못하고 있습니다.

원시 데이터에는 부처 및 경제 단체(산업 및 무역, 재무, 교통, 과학기술, 농업 및 농촌 개발, 상무, 세무부, 석탄 그룹 등)의 공무원 및 내부 연락처 목록, 전국의 전기 고객, 네트워크 운영자의 전화 및 인터넷 가입자에 대한 정보, 은행에서 대출 및 저축하는 고객에 대한 정보, 증권, 보험 등이 포함됩니다.

처리되는 개인정보는 공안부에 의해 개인, 조직 및 기업에 대한 자세한 정보로 식별됩니다. 이러한 정보에는 성명, 생년월일, 신분증 번호, 주소, 전화번호, 은행 계좌 번호(잔액 포함), 친척, 직위, 직무 등이 포함됩니다.

공안부는 이러한 상황을 심도 있게 분석하면서 기업과 서비스 회사가 고객의 개인정보를 수집하여 제3자가 개인정보 정보에 접근할 수 있도록 허용하지만, 엄격한 요구 사항이나 규정이 없어 제3자가 다른 파트너에게 이를 양도하고 거래할 수 있도록 허용한다고 밝혔습니다.

기업은 고객의 개인 정보를 적극적으로 수집하고, 개인 데이터 창고를 구축하고, 이러한 데이터를 분석하고 처리하여 사업과 무역을 수행합니다.

" 개인 정보 거래는 체계적이고 조직적으로 이루어지며, '보증'을 준수하고 구매자의 요청에 따라 데이터를 업데이트하고 추출할 수 있는 역량을 갖추고 있습니다. 많은 데이터가 사이버 공간에서 장기간에 걸쳐 대량으로 공개적으로 판매되고 있습니다. 매매는 웹사이트, 계정, 페이지, 소셜 네트워크 그룹, 해커 포럼 등을 통해 이루어집니다. "라고 공안부 보고서는 명시적으로 밝혔습니다.

공안부는 평가 보고서에서 개인정보를 불법적으로 수집하는 수법과 꼼수도 언급했습니다.

구체적으로, 공안부는 이들이 매력적인 콘텐츠가 담긴 웹사이트를 제작하거나 악용하여 사용자를 유인한다고 밝혔습니다. 사용자가 이러한 웹사이트에 접속하면, 사용자 모르게 컴퓨터와 스마트 기기에 악성 코드를 몰래 설치하여 정보를 수집합니다.

예를 들어, 공격자는 온라인 게임 페이지, 음란물 웹사이트 등에 악성 코드를 첨부하거나, 가짜 정보 로그인 페이지(페이스북, 이메일, 은행 등)를 생성합니다. 이러한 페이지는 이메일을 통해 피해자에게 전송되며, 서비스 제공업체의 로그인 페이지와 동일한 인터페이스를 가지고 있습니다. 피해자가 주의하지 않고 해당 웹사이트에 로그인하면, 해당 정보는 서비스 제공업체가 아닌 해커에게 전송됩니다.

공안부가 언급한 또 다른 수법은 무료 소프트웨어를 통한 개인 정보 불법 수집입니다. 따라서 인터넷에서 무료로 제공되는 일부 소프트웨어, 특히 출처를 알 수 없는 소프트웨어나 크랙된 소프트웨어의 경우, 사용자는 이를 악용하여 악성코드를 설치하고, 사용자가 이를 다운로드 및 설치하는 과정에서 자신의 기기에 악성코드를 설치하게 됩니다.

" 이러한 악성 코드는 사용자의 개인 정보를 은밀하게 수집합니다. 예를 들어 소프트웨어 크랙 및 패치 프로그램, AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan과 같은 가짜 바이러스 백신 소프트웨어 등이 있습니다. "라고 공안부는 밝혔습니다.

스마트 기기를 통한 공격은 범죄자들이 개인정보를 불법적으로 수집하는 데 사용하는 수법이기도 합니다. 공안부는 이를 새로운 전술로 간주합니다. 범죄자들은 Wi-Fi 라우터, 보안 카메라, 스마트폰 등 인터넷에 연결된 스마트 기기를 주로 표적으로 삼습니다.

제조업체가 제공하는 기본 계정과 비밀번호를 사용하거나 패치를 정기적으로 업데이트하지 않는 등 이러한 장치의 일반적인 보안 취약점을 탐지하고 악용하기 위한 검사를 수행함으로써 해당 주체는 사용자를 모니터링하고, 데이터를 수집하고, 위협하거나 협박하기 위해 악성 코드를 설치합니다.