KS한국고용정보 개인정보 유출 사태: 22GB 데이터 다크웹 판매 충격

개인정보 보호의 중요성이 그 어느 때보다 강조되는 시대, KS한국고용정보의 대규모 데이터 유출 사건은 기업과 개인 모두에게 경각심을 일으키고 있습니다. 루마C2 악성코드를 통한 시스템 침투로 시작된 이번 사건은 단순한 정보 유출을 넘어 다크웹에서 실제 거래되는 충격적인 상황으로 발전했습니다. 이번 글에서는 사건의 전모와 그 심각성, 그리고 우리가 취해야 할 보안 조치에 대해 알아보겠습니다.

충격적인 개인정보 유출의 실체

2025년 4월 19일, KS한국고용정보는 외부 해킹 공격으로 직원 개인정보가 유출되는 사고를 겪었습니다^2. 유출된 정보의 범위는 상상을 초월할 정도로 방대했습니다. 암호화된 상태로 유출된 정보에는 이름, 생년월일, 주민등록번호 뒷자리, 이메일, 비밀번호, 주소, 계좌번호, 전화번호 등이 포함되었습니다^2.

더 심각한 것은 암호화되지 않은 채 유출된 정보들입니다. 직원들의 사진, 신분증 사본, 통장 사본, 근로계약서, 서명 정보, 급여 정보는 물론이고 가족관계증명서, 주민등록등본, 혼인관계증명서까지 개인의 가장 민감한 정보들이 그대로 노출되었습니다^2. 이는 일반적인 해킹 사고와는 차원이 다른 심각한 수준의 개인정보 유출입니다.

보안 전문가들은 이번 사건이 단순한 웹사이트 해킹이 아니라 회사의 '인사정보시스템'이 통째로 공격받은 것으로 분석하고 있습니다^2. 특히 고객센터 도급운영 전문업체인 KS한국고용정보는 소속 임직원이 7000명을 넘는 대규모 기업으로, 피해 범위가 매우 광범위합니다^2.

다크웹에서 판매되는 개인정보

이번 사건의 심각성을 더하는 것은 유출된 데이터가 실제로 다크웹에서 판매되고 있다는 사실입니다. 지난 4월 22일, 다크웹 해킹 포럼인 '익스플로잇 포럼(Exploit Forum)'에 'Thales'라는 사용자가 KS한국고용정보에서 탈취한 데이터를 판매하는 게시글을 올렸습니다^9.

해당 게시글에 따르면 이 데이터에는 모든 이메일 계정 접근권, SQL 데이터베이스, 재무자료, 문서, 직원 신원정보가 포함되어 있으며, 총 용량은 무려 22GB에 달합니다^9. 판매자는 이 방대한 양의 개인정보를 15,000달러에 거래하고 있으며, 다크웹 상 익명 통신 수단인 Tox와 PGP 서명을 통해 연락을 받고 있습니다^9.

더욱 충격적인 것은 유출된 정보에 수년 전 퇴사한 임직원들의 정보까지 포함되어 있다는 점입니다^9. 이는 기업의 개인정보 보관 정책에 심각한 문제가 있음을 시사합니다. 퇴사자의 정보가 제대로 삭제되지 않고 장기간 보관되어 이번 해킹으로 함께 유출된 것입니다.

루마C2 악성코드: 침투의 시작점

이번 대규모 정보 유출의 시작점은 2025년 4월 5일로 거슬러 올라갑니다. 글로벌 위협 인텔리전스 전문기업 레코디드 퓨쳐에 따르면, KS한국고용정보 공식 도메인인 'ksjob.co.kr'의 관리자(admin) 계정이 LummaC2라는 인포스틸러에 의해 탈취된 정황이 포착되었습니다^9.

루마C2 악성코드의 특징과 위험성

루마C2(LummaC2)는 정보탈취형 악성코드로, 2022년 8월부터 러시아어 사용 포럼에서 MaaS(Malware-as-a-Service) 모델로 제공된 것으로 알려져 있습니다^19. C언어로 작성된 이 악성코드는 주로 암호화폐 지갑과 2단계 인증(2FA) 브라우저 확장 프로그램을 대상으로 하며, 감염된 기기에서 민감한 정보를 탈취합니다^19.

이 악성코드는 크리덴셜, 세션 토큰, 브라우저 자동저장 정보 등을 수집해 공격자에게 전달하는 기능을 가지고 있으며, 최근 들어 기업 네트워크 내부 침투의 주요 경로로 자주 활용되고 있습니다^9.

루마C2는 Chrome, Firefox, Edge, Brave, Opera 등 다양한 브라우저를 대상으로 브라우징 이력, 인터넷 쿠키, 사용자 이름/비밀번호, 개인 식별 정보, 신용카드 번호 등 고도로 민감한 정보를 수집합니다^18. 또한 Binance, Electrum, Ethereum 등 다양한 암호화폐 관련 정보도 탈취하는 것으로 알려져 있습니다^18.

악성코드 유포 방식

루마C2는 다양한 방식으로 유포됩니다. 주로 크랙, 키젠(Keygen), 게임 핵과 같은 불법 프로그램으로 위장하거나, 노션(Notion), 슬랙(Slack), 캡컷(CapCut) 등의 홈페이지로 위장해 검색 엔진의 광고에 노출되는 기법으로 유포됩니다^8^15.

최근에는 스팀(Steam) 게임 플랫폼을 C2 도메인 획득 목적으로 악용하는 등 지속적으로 진화하고 있습니다^12. 또한 최신 버전인 루마C2 v4.0에서는 트리고노메트리(삼각법)를 활용한 안티샌드박스 기술을 도입하는 등 더욱 고도화되고 있습니다^18.

개인정보 유출의 심각한 위험성

이번 사건은 단순한 시스템 침입이 아닌 APT(지능형 지속 위협) 수준의 고도화된 침해로 평가받고 있습니다^9. 공격자가 루마C2 인포스틸러를 통해 관리 권한을 탈취하고, 내부 시스템에 접근해 정보를 수집한 뒤, 이를 정리해 유출했을 가능성이 큽니다.

유출된 정보가 다크웹에서 판매되고 있다는 점에서 이 사건은 잠재적 위험이 아닌 현재 진행형의 실질적인 위협입니다. 특히 문서 기반의 유출이라는 점에서 향후 사회공학 기반 피싱, 사칭, 신분 도용 범죄로 악용될 가능성이 매우 높다는 우려가 제기되고 있습니다^9.

기업의 대응과 한계

KS한국고용정보는 유출 사실을 인지한 후 한국인터넷진흥원(KISA) 등 유관 기관에 신고를 마쳤으며, 해킹된 시스템에 대한 분리와 신규 서버로의 사이트 이전 등 피해 확산 방지 조치를 완료했다고 밝혔습니다^2. 또한 임직원들에게는 비밀번호 변경 등의 보안 조치를 권고하는 등 사후조치에도 만전을 기하고 있다고 강조했습니다^2.

그러나 이미 유출된 방대한 양의 민감 정보에 대해서는 효과적인 대응이 어려운 상황입니다. 특히 문서 기반 민감정보에 대한 암호화 정책이 부재했고, 퇴사자 개인정보 삭제 절차 역시 제대로 적용되지 않았던 것으로 보이는 점은 기업의 개인정보 관리 체계에 심각한 문제가 있음을 시사합니다^9.

개인정보 보호를 위한 교훈과 대책

이번 사건은 기업과 개인 모두에게 개인정보 보호의 중요성을 다시 한번 일깨우는 계기가 되었습니다. 전문가들은 이번 사태를 통해 다음과 같은 보안 강화 대책이 필요하다고 조언하고 있습니다:

1. 퇴직자 개인정보 자동삭제 시스템 도입: 더 이상 필요하지 않은 개인정보는 적절한 시점에 자동으로 삭제되는 시스템을 구축해야 합니다^9.
2. 문서 보안 체계 강화: 민감한 개인정보가 포함된 문서는 반드시 암호화하여 보관해야 합니다^9.
3. 다크웹 기반 위협 인텔리전스 도입: 기업의 정보가 다크웹에서 거래되는 징후를 조기에 탐지할 수 있는 시스템이 필요합니다^9.
4. 소프트웨어 다운로드 시 주의: 소프트웨어는 반드시 공식 홈페이지를 통해 다운로드하고, 출처가 불분명한 소프트웨어는 설치하지 않아야 합니다^15.
5. 이메일 및 첨부파일 주의: 출처가 불분명한 이메일의 첨부파일이나 링크는 클릭하지 않아야 합니다^15.
6. 다단계 인증 활성화: 중요한 계정에는 반드시 다단계 인증을 설정하여 계정 탈취 위험을 줄여야 합니다^16.

결론: 개인정보 보호의 새로운 시작점

KS한국고용정보의 데이터 유출 사건은 단순한 해킹 사고를 넘어 우리 사회의 개인정보 보호 체계에 대한 심각한 경고입니다. 특히 실제 유출 데이터가 다크웹에서 거래되는 정황이 구체적으로 확인된 만큼, 개인정보보호위원회, KISA, 경찰청 등 관련 기관의 신속한 조사와 대응이 요구되는 상황입니다^9.

이번 사건을 계기로 기업들은 개인정보 보호에 대한 투자와 인식을 강화해야 하며, 개인 또한 자신의 정보를 보호하기 위한 적극적인 노력이 필요합니다. 디지털 시대에 개인정보는 우리의 또 다른 자산이자 정체성입니다. 이를 지키기 위한 노력은 기업과 개인, 그리고 사회 전체가 함께 해야 할 공동의 책임입니다.

여러분은 자신의 개인정보를 어떻게 관리하고 계신가요? 이번 사건을 통해 개인정보 보호에 대한 인식을 새롭게 하고, 더 안전한 디지털 생활을 위한 작은 실천을 시작해보는 것은 어떨까요?

#개인정보유출 #KS한국고용정보 #루마C2 #다크웹데이터판매 #사이버보안 #인포스틸러 #해킹사고 #개인정보보호 #데이터보안 #악성코드 #정보탈취 #사이버위협 #정보보안 #개인정보관리 #다크웹

---

KS Korea Employment Information Data Breach: Shock of 22GB Data Sale on Dark Web

In an era where the importance of personal information protection is emphasized more than ever, the massive data breach at KS Korea Employment Information is raising awareness for both companies and individuals. Starting with system infiltration through the LummaC2 malware, this incident has evolved beyond simple information leakage into a shocking situation where data is actually being traded on the dark web. In this article, we will explore the full picture of the incident, its severity, and the security measures we should take.

The Reality of Shocking Personal Information Leak

On April 19, 2025, KS Korea Employment Information experienced an external hacking attack that resulted in the leakage of employee personal information^2. The scope of leaked information was vast beyond imagination. Information leaked in encrypted form included names, dates of birth, last digits of resident registration numbers, emails, passwords, addresses, account numbers, and phone numbers^2.

Even more serious is the information leaked without encryption. Photos of employees, copies of identification cards, bank account copies, employment contracts, signature information, salary information, as well as family relationship certificates, resident registration documents, and marriage relationship certificates - the most sensitive personal information was exposed^2. This is a serious level of personal information leakage that is different from ordinary hacking incidents.

Security experts analyze that this incident was not a simple website hacking but an attack on the company's 'personnel information system' as a whole^2. In particular, KS Korea Employment Information, a company specializing in customer center outsourcing operations, has more than 7,000 employees, making the scope of damage very extensive^2.

Personal Information Sold on the Dark Web

What adds to the severity of this incident is the fact that the leaked data is actually being sold on the dark web. On April 22, a user named 'Thales' posted a listing selling data stolen from KS Korea Employment Information on 'Exploit Forum', a dark web hacking forum^9.

According to the post, this data includes access to all email accounts, SQL databases, financial data, documents, and employee identification information, with a total capacity of 22GB^9. The seller is trading this vast amount of personal information for $15,000 and is receiving contacts through Tox and PGP signatures, anonymous communication means on the dark web^9.

Even more shocking is that the leaked information includes information about employees who resigned years ago^9. This suggests that there are serious problems with the company's personal information retention policy. The information of former employees was not properly deleted and was kept for a long period, leading to its leakage in this hacking incident.

LummaC2 Malware: The Starting Point of Infiltration

The starting point of this massive information leak dates back to April 5, 2025. According to Recorded Future, a global threat intelligence company, the administrator (admin) account of KS Korea Employment Information's official domain 'ksjob.co.kr' was captured by an info-stealer called LummaC2^9.

Characteristics and Risks of LummaC2 Malware

LummaC2 is an information-stealing malware that has been provided as a MaaS (Malware-as-a-Service) model on Russian-speaking forums since August 2022^19. This malware, written in C language, primarily targets cryptocurrency wallets and two-factor authentication (2FA) browser extensions, stealing sensitive information from infected devices^19.

This malware has the function of collecting credentials, session tokens, browser auto-save information, etc., and sending them to attackers, and has recently been frequently used as a major route for penetrating corporate networks^9.

LummaC2 collects browsing history, internet cookies, usernames/passwords, personal identification information, credit card numbers, and other highly sensitive information from various browsers including Chrome, Firefox, Edge, Brave, and Opera^18. It is also known to steal various cryptocurrency-related information such as Binance, Electrum, and Ethereum^18.

Malware Distribution Methods

LummaC2 is distributed in various ways. It is mainly disguised as illegal programs such as cracks, keygens, game hacks, or distributed using techniques that expose it to search engine advertisements by disguising it as websites such as Notion, Slack, and CapCut^8^15.

Recently, it has been continuously evolving, such as exploiting the Steam game platform for the purpose of acquiring C2 domains^12. In addition, the latest version, LummaC2 v4.0, is becoming more sophisticated by introducing anti-sandbox technology using trigonometry^18.

Serious Risks of Personal Information Leakage

This incident is being evaluated as a sophisticated breach at the APT (Advanced Persistent Threat) level, not a simple system intrusion^9. It is highly likely that the attacker stole administrative rights through the LummaC2 info-stealer, accessed the internal system to collect information, and then organized and leaked it.

The fact that the leaked information is being sold on the dark web makes this incident a real and ongoing threat, not just a potential risk. In particular, concerns are being raised that it is highly likely to be exploited for social engineering-based phishing, impersonation, and identity theft crimes in the future, especially since it is a document-based leak^9.

Corporate Response and Limitations

KS Korea Employment Information reported that after recognizing the fact of the leak, it completed reporting to relevant agencies such as the Korea Internet & Security Agency (KISA), and completed measures to prevent the spread of damage such as separating the hacked system and transferring the site to a new server^2. They also emphasized that they are doing their best to take follow-up measures, such as recommending password changes to employees^2.

However, it is difficult to respond effectively to the vast amount of sensitive information that has already been leaked. In particular, the fact that there was no encryption policy for document-based sensitive information and that the procedure for deleting former employee personal information was also not properly applied suggests that there are serious problems in the company's personal information management system^9.

Lessons and Measures for Personal Information Protection

This incident has become an opportunity to remind both companies and individuals of the importance of personal information protection once again. Experts advise that the following security enhancement measures are needed through this incident:

1. Introduction of Automatic Deletion System for Retired Employee Personal Information: A system should be built to automatically delete personal information that is no longer needed at an appropriate time^9.
2. Strengthening Document Security System: Documents containing sensitive personal information must be stored encrypted^9.
3. Introduction of Dark Web-based Threat Intelligence: A system is needed to detect early signs of a company's information being traded on the dark web^9.
4. Caution when Downloading Software: Software should always be downloaded through the official website, and software from unclear sources should not be installed^15.
5. Caution with Emails and Attachments: Attachments or links in emails from unclear sources should not be clicked^15.
6. Activation of Multi-factor Authentication: Multi-factor authentication should always be set up for important accounts to reduce the risk of account theft^16.

Conclusion: A New Starting Point for Personal Information Protection

The data breach incident at KS Korea Employment Information is a serious warning about our society's personal information protection system beyond a simple hacking incident. Especially as specific circumstances of actual leaked data being traded on the dark web have been confirmed, rapid investigation and response from relevant agencies such as the Personal Information Protection Commission, KISA, and the police are required^9.

Through this incident, companies need to strengthen their investment and awareness of personal information protection, and individuals also need to make active efforts to protect their information. In the digital age, personal information is another asset and identity of ours. Efforts to protect it are a shared responsibility that companies, individuals, and society as a whole must take together.

How are you managing your personal information? How about starting a small practice for a safer digital life by renewing your awareness of personal information protection through this incident?

#PersonalDataBreach #KSKoreaEmploymentInfo #LummaC2 #DarkWebDataSale #CyberSecurity #InfoStealer #HackingIncident #PersonalInfoProtection #DataSecurity #Malware #InfoTheft #CyberThreat #InfoSecurity #PersonalDataManagement #DarkWeb

⁂

#개인정보유출 #KS한국고용정보 #루마C2 #다크웹데이터판매 #사이버보안 #인포스틸러 #해킹사고 #개인정보보호 #데이터보안 #악성코드 #정보탈취 #사이버위협 #정보보안 #개인정보관리 #다크웹