JTN미디어, 허술한 홈피 관리 고객 정보 8만건 샜다

국내 유명 가수 콘서트 등을 주최하는 문화 마케팅 회사 JTN미디어(www.jtnevent.com)가 보유한 회원 정보가 대량 유출됐다. 약 8만명에 달하는 정보가 빠져나갔으며 허술한 홈페이지 관리가 원인으로 분석됐다.

JTN미디어 홈페이지에 고객 정보가 그대로 노출됐다. (내부 내용은 개인정보 문제로 안보이게 처리함).
JTN미디어 홈페이지에 고객 정보가 그대로 노출됐다. (내부 내용은 개인정보 문제로 안보이게 처리함).

화이트해커그룹 락다운은 JTN미디어 홈페이지가 누구나 주소만 알면 접속해 개인정보를 유출하는 취약점에 노출됐다고 22일 밝혔다. 락다운은 해커 동향을 추적하던 중 JTN미디어 개인정보 유출 정황을 포착했다. 이미 해커는 JTN미디어 고객 정보 8만여건을 엑셀파일로 저장해 빼돌렸다. 빠져나간 개인 정보는 이름, 생년월일, 아이디, 비밀번호, 주소, 전화번호, 휴대폰 번호, JTN카드번호, 카드만기일, 이메일, 티켓 교환 내역 등 20건에 달한다.

유출된 개인정보는 보이스피싱과 스미싱, APT공격, 명의도용 등 2차 피해가 발생할 수 있어 주의가 요구된다.

JTN미디어는 개인정보보호법에 따라 민감한 개인정보 등을 암호화해 저장해야 하는데 그냥 저장하는 등 기본적인 보안을 지키지 않았다. 락다운은 JTN 보안담당자는 고객 정보를 관리하는 사이트에 대한 세션과 쿠키 값을 검증하지 않아 누구나 홈페이지 주소만 알면 접속해 개인 정보를 유출하게 했다고 설명했다. 락다운은 “관리자 권한을 부여 받은 사람만 접속하도록 보안 조치를 취해야 한다”며 “개인정보 유출대상자를 파악해 2차 피해를 막는 데 집중해야 한다”고 권고했다.

JTN미디어는 1981년 중앙일보 영레이디 정기구독자 유치와 독자 관리를 위한 사업본부로 출발한 회사다. 중앙일보 정기간행물 독자를 위한 콘서트와 강연회를 진행했으며 2012년 중앙일보시사미디어와 계약이 종료돼 독립했다. 이 회사는 멤버십을 모집해 공연과 이벤트 초대 등의 사업을 한다.

이에 JTN미디어는 “해당 부서에 알리고 조치를 취하는 중”이라고 밝혔다.

김인순기자 insoon@etnews.com