아마고가 운영하는 비즈니스 성장 인큐베이터 플랫폼 ‘아싸뷰’가 이달 8일 해킹으로 회원 개인정보가 유출됐다고 공지했다. 아마고는 홈페이지에 ‘개인정보 유출 관련 긴급 안내’라는 제목의 글을 띄우며 이용자들에게 사과의 뜻을 밝혔다.

아싸뷰는 공지에서 사고를 인지한 즉시 한국인터넷진흥원(KISA)에 신고하고, 해당 취약점 차단 및 전면적인 보안 강화 조치를 완료했다고 밝혔다.

이번 해킹으로 유출된 개인정보 항목은 개인식별정보 6개 항목, 서비스 이용정보 9개 항목 등 총 15개 항목이다. 유출된 ‘개인식별정보’는 △이름 △닉네임 △아이디 △이메일 주소 △휴대전화번호 △성별이며, ‘서비스 이용정보’는 △회원등급 △보유포인트 △방문횟수 △가입경로(PC·모바일) △가입일 △최근 접속일 △마케팅수신동의여부 △신청캠페인 수 △선정캠페인 수 등 9개 항목이다.

아싸뷰 측은 홈페이지 최하단 버튼을 통해 로그인을 하면 사용자 본인의 정보 유출 여부를 확인할 수 있다고 안내했다.

회사는 유출 사고 인지 즉시 회원 정보와 같은 민감 데이터에 접근하는 내부 시스템은 오직 내부망 IP를 통해서만 접근할 수 있도록 폐쇄형으로 변경해 운영하고 있다. 또 웹 방화벽을 설정해 PHP 인젝션 및 SQL 인젝션, XSS 등 다양한 웹 공격과 악의적인 접속 요청을 발견하면 차단 및 로깅하도록 운영 중이다. 내부망 IP 이외의 접근을 차단하는 보안 정책을 강화해 외부 접근 위험을 최소화했으며, 해킹이 의심되는 IP를 모두 차단해 2차 피해를 방지하고 있다. 회원 정보와 같은 민감 데이터가 포함된 페이지 접근 기록을 집중 모니터링해 의심 행위가 감지되면 즉각 조치할 수 있도록 시스템을 강화하고 있다.

아싸뷰 측은 2차 피해 방지를 위한 안내도 덧붙였다. 회사는 2차 피해 방지를 위해 공식 홈페이지 외 개인 연락 및 체험 신청을 요청하지 않고, 개인적으로 연락오는 보이스피싱, 스미싱 등 모든 각별히 주의할 것을 당부했다. 또 아싸뷰 직원을 사칭한 전화나 문자로 개인정보, 금융정보 등을 요구하는 경우 절대 응하지 마시고 즉시 차단하라고 안내했다.

아싸뷰는 “아싸뷰를 믿고 이용해주신 체험단분들께 이러한 심각한 사고로 인해 걱정과 불편을 끼쳐드린 점 다시 한번 깊이 사과드린다”며 “고객님들의 소중한 개인정보를 보호하지 못한 것에 대해 무거운 책임감을 느낀다”고 밝혔다.

이어 “이번 사고를 계기로 개인정보 외부 유출을 원천 차단하는 다중 보안 체계 구축, 최소한의 정보만 보유하는 방침 변경, 전 직원 보안 교육 강화, 외부 전문기관을 통한 정기적 보안 점검 등 강화된 보안 정책을 수립해 동일한 사고가 재발하지 않도록 최선을 다하겠다”고 재차 고개를 숙였다.