728x90
반응형
한국식품산업협회 "개인정보 유출 정황 발견…외부 공격 추정"

개인정보유출 식품산업협회 메디오피아테크 사이버공격 위생교육해킹
한국식품산업협회의 온라인 위생교육 시스템이 외부 해킹 공격을 받은 것으로 추정되면서 11만 명이 넘는 식품 산업 종사자들의 개인정보가 유출됐을 가능성이 제기됐다. 2026년 6월 24일 위탁 운영사인 메디오피아테크가 시스템 점검 중 비정상적인 접근 흔적과 개인정보가 담긴 파일 생성 정황을 발견했고, 협회는 이틀 후인 26일 홈페이지에 이 사실을 공지하고 당사자들에게 개별 문자를 발송했다. 아이디부터 암호화된 비밀번호, 휴대전화번호까지 8개 항목이 유출됐을 수 있다는 내용이다.
⚠️ "외부 공격으로 추정되는 비정상 접근 및 개인정보가 포함된 CSV 파일이 생성된 정황을 확인했다" – 한국식품산업협회 공식 공지
한국식품산업협회는 2026년 6월 24일 교육사이트 운영 위탁사 메디오피아테크의 시스템 점검 과정에서 외부 공격으로 추정되는 비정상 접근을 확인했다. 공격자는 개인정보가 담긴 CSV 파일을 시스템 내에 생성했으며, 이 파일이 외부로 유출됐을 가능성이 있다. 협회는 피해 서버를 즉시 격리하고 공격 IP를 차단했으며, 개인정보보호위원회 등 관계기관에 신고해 조사에 협조 중이다.
1. 사건 규모 – 11만2728명, 8개 항목
11만2,728명
유출 정황 확인
피해 추정 인원
피해 추정 인원
8개
유출 의심
개인정보 항목 수
개인정보 항목 수
2026.6.24
비정상 접근
정황 최초 확인일
정황 최초 확인일
170개+
협회 회원사 수
(식품업계 주요 기업)
(식품업계 주요 기업)
유출이 의심되는 개인정보 항목은 다음과 같다.
🔑 아이디(ID)
🔐 암호화된 비밀번호
👤 이름
⚧ 성별
💼 직책
📞 업체 전화번호
📱 휴대전화번호
✉️ 이메일 주소
비밀번호가 "암호화된 형태"로 포함됐다는 것이 협회 측의 설명이다. 해시(Hash) 처리된 비밀번호라 해도, 공격자가 레인보우 테이블이나 대입 공격(Brute Force Attack)을 시도하면 원본 비밀번호를 추출할 가능성이 있다. 특히 여러 사이트에서 같은 비밀번호를 사용하는 경우 다른 서비스의 계정도 연쇄적으로 위협받을 수 있다. 유출 피해자들은 즉시 비밀번호를 변경하고, 동일 비밀번호를 사용하는 모든 서비스를 점검해야 한다.
2. 사건 경위 타임라인
2026년 6월 24일 – 비정상 접근 정황 최초 발견
교육사이트 운영 위탁사 메디오피아테크가 정기 시스템 점검을 진행하던 중, 외부 공격으로 추정되는 비정상 접근 흔적과 개인정보가 포함된 CSV 파일이 시스템 내에 생성되어 있는 정황을 발견했다. 즉시 피해 서버를 격리하고 공격 IP를 차단하는 긴급 조치에 들어갔다.
2026년 6월 26일 – 협회 공식 공지 및 문자 발송
한국식품산업협회는 공식 홈페이지에 개인정보 유출 정황을 공지했다. 동시에 유출 정황이 확인된 11만2728명 전원에게 개별 문자 메시지를 발송했다. 개인정보보호위원회 등 관계기관에 사건을 신고하고 조사에 협조하기 시작했다.
2026년 6월 28일 – 언론 보도 및 파문 확산
연합뉴스TV·SBS·아시아경제·경기일보 등 주요 언론을 통해 사건이 광범위하게 보도됐다. 협회는 스미싱·피싱 사기에 각별히 유의할 것을 재당부했다. 현재 관계기관 정밀 조사가 진행 중이다.
3. 어떤 시스템이 공격받았나 – 위생교육 LMS와 메디오피아테크
이번 사고가 발생한 시스템은 한국식품산업협회가 메디오피아테크에 위탁 운영을 맡긴 온라인 학습관리시스템(LMS)이다. 이 시스템은 식품 업종 종사자들이 법적으로 의무 이수해야 하는 위생 교육을 온라인으로 받을 수 있도록 구축된 플랫폼이다. 식품 제조·유통·외식 업체 종사자들이 매년 의무적으로 수료해야 하는 법정 교육인 만큼, 국내 식품 산업 전반의 종사자들이 시스템에 가입되어 있다. 협회 관계자는 "개인정보는 가입 후 1년이 지나면 삭제되는 구조"라고 밝혔으며, 이번 유출은 2026년 상반기 교육 이수자 데이터가 중심이다.
위탁 운영 구조가 보안 사각지대를 만들었다는 지적도 나왔다. 협회는 서비스를 위탁했더라도 개인정보처리에 대한 법적 책임은 원사업자(협회)에게 있다. 개인정보보호법 제26조에 따르면 수탁자가 처리하는 개인정보에 대한 위탁자의 관리·감독 의무가 명시되어 있다. 위탁 업체의 보안 수준을 얼마나 관리·감독했는지가 향후 과징금 등 제재 여부에 중요한 판단 요소가 될 것으로 보인다.
4. 협회가 완료한 긴급 보안 조치
피해 서버 즉시 격리
비정상 접근이 확인된 서버를 즉각 네트워크에서 분리해 추가 접근 및 데이터 유출 가능성을 차단했다.
공격 IP 차단
비정상 접근에 사용된 것으로 의심되는 IP 주소를 방화벽에서 차단해 동일 경로를 통한 재공격을 막았다.
방화벽 강화
전반적인 보안 정책을 재검토하고 방화벽 규칙을 강화해 유사한 비정상 접근을 탐지·차단하도록 보완했다.
관계기관 신고 및 조사 협조
개인정보보호위원회 및 수사기관에 사건을 신고하고, 정밀 조사에 협조 중이다. 공격 주체·경로·유출 범위 확인이 진행되고 있다.
5. 피해 대상자가 지금 당장 해야 할 일
- ⚠️ 비밀번호 즉시 변경: 식품산업협회 교육사이트와 동일한 비밀번호를 사용하는 모든 사이트(포털·금융·쇼핑 등)의 비밀번호를 즉시 바꿔야 한다.
- ⚠️ 2단계 인증 활성화: 주요 계정(이메일·금융·포털)에 2단계 인증을 추가하면 비밀번호가 유출되더라도 계정 탈취를 막을 수 있다.
- ⚠️ 스미싱·피싱 문자 주의: 협회가 직접 당부한 사항이다. "이번 유출 사고를 빙자해 결제·송금·인증번호 제공을 요구하는 행위에는 절대 응하지 말 것"을 당부했다.
- ⚠️ 출처 불명 링크 클릭 금지: 유출된 이메일·전화번호로 발송되는 출처 불명의 문자·이메일 링크를 클릭하지 말아야 한다.
- ⚠️ 고충 접수 활용: 추가 피해나 의심 사례는 협회 위생교육본부 ☎1577-3869에 접수할 수 있다.
6. 위탁 운영 시스템의 구조적 보안 허점
| 취약 요소 | 이번 사고에서의 문제점 | 위험도 |
|---|---|---|
| 위탁 운영 보안 관리 | 협회가 위탁사(메디오피아테크)의 보안 수준을 충분히 점검·관리했는지 불확실 | 높음 |
| CSV 파일 생성 허용 | 공격자가 대량 개인정보를 CSV로 취합·저장할 수 있는 권한이 존재했던 것으로 추정 | 높음 |
| 비밀번호 암호화 방식 | 암호화 방식에 따라 원본 비밀번호 복원 가능성 존재 – 해싱 알고리즘·솔트 사용 여부 미공개 | 높음 |
| 접근 탐지 시스템 | 시스템 점검 중 우연히 발견 – 실시간 침해 탐지 시스템(IDS/IPS)의 부재 또는 미작동 가능성 | 중간 |
| 법정 의무교육 플랫폼 | 식품업 종사자가 반드시 가입해야 하는 시스템인 만큼 피해 대상자 범위가 식품업계 전반으로 광범위 | 중간 |
보안 전문가들은 이번 사고를 계기로 법정 의무교육 시스템처럼 정부 인정 기관이 운영하거나 위탁하는 플랫폼에 대한 보안 기준을 상향해야 한다고 지적한다. 이런 시스템은 대상자들이 선택의 여지 없이 개인정보를 등록해야 하는 구조이기 때문에, 민간 서비스보다 더 높은 수준의 보안 책임이 요구된다는 것이다.
#한국식품산업협회유출
#식품산업협회해킹
#메디오피아테크보안사고
#위생교육개인정보유출
#11만명개인정보유출
#CSV파일생성해킹
#개인정보보호위원회
#스미싱주의2026
#비밀번호변경
#위탁운영보안허점
728x90
반응형
