[단독] 한국외식업중앙회 11만명 개인정보 유출

2021년 11월 13일 한국외식업중앙회(ifoodedu.or.kr)의 홈페이지가 뚫렸다는 소식이 해외 해킹 커뮤니티에 공개되었다.

일부 정보를 마스킹하였음.

 

음식점은 위생교육필증을 의무적으로 발급받도록 되어있어 피해가 예상됩니다.

 

유출된 개인정보는 이름, 전화번호, 이메일, 주민등록번호(일부 사용자는 생년월일+성별 정보만)등입니다.

유출된 인원은 총 113,006명으로 이중 162명은 주민번호가 아닌 생년월일+성별 정보가 유출되었습니다.

 

현재는 공지가 없는데, 개인정보가 유출된 서비스 대상으로 1달 이내에 KISA에서 공지를 띄우도록 공문을 보낼 것으로 예상됩니다.

 

아직 개인정보 유출 소식에 대한 정보가 없을 수도 있습니다.

다만, 해당 해킹 커뮤니티는 한국 사이버 경찰청, KISA 등이 자주 모니터링하는 사이트로 제가 보름 늦게 확인한 정보이므로 이미 인지했을 것으로 보입니다.

실제 서버 주소와 서버 접속 ID, PW 또한 유출되었으나 이에 대해 확인은 정보통신망법을 위반하기 때문에 진행하지 않았습니다.

 

 

현재 홈페이지를 확인해보니.

사이트 하단에는 인증마크가..?

 

그런데, 현재 홈페이지에 가봤는데 개인정보가 불법적으로 전송되는 것(암호화 처리안됨)으로 직접 확인하였습니다.

* 이번 해킹과 직접적인 관계는 없음
암호화 되지 않은 정보 전달은 도청과 비슷하게 털릴 수 있는 문제가 있지만,
이번 내용은 서버의 권한이 탈취당한 것으로 예상됩니다.

 

서버 해킹으로 개인정보 유출 이외에도 문제가 있는데,
개인정보는 암호화(https로)하여 전송하여야 한다는 정보통신망법등에 대한 위반으로 5천만 원 이하의 벌금을 맞을 수 있는 것으로 확인됩니다.

 

아래는 구버전 페이지에서 로그인 전 http로 트래픽을 전송하는 코드입니다.

//로그인
function logIn(){
	if(form_chk())
	{

        
//xp에서 로그인안된다고하여 https제거 - 16.05.12 eonjo 	
/*		
        //SSL		
		var url = location.href;
		url = 'https://'+ document.domain; 
		document.Login.action = url+'/Main.cmd?cmd=setLogin';
		document.Login.submit();	
*/		
		
		document.Login.action = '/Main.cmd?cmd=setLogin';  //테스트
		document.Login.submit();
		
		
		
	}
}

아래는 신버전 페이지에서 로그인 정보를 http를 통해 아이디, 비밀번호와 같은 민감한 정보를 비암호화하여 전송하고 있는 코드

	function logIn(){
		if(form_chk()){
			
			var url = document.domain;
			// www. 제거
			url = url.replace("www.","");
			url = 'http://'+ url; 
			document.Login.action = url+'/Main.cmd?cmd=setLogin';  //테스트
			document.Login.submit();
		}
	}