
□ 개요
본 사고는 외부 해킹이나 시스템 침해가 아닌, 내부 직원의 비위 행위에 따른 개인정보 비인가 접근·공유 사건이다. 사고 자체는 2025년 11월 발생했으나, 피해자가 문제를 공개적으로 제기하고 언론 보도가 이어지면서 2026년 1월 초 대중적으로 인지되었다. 특히 팬사인회 이벤트가 고액 앨범 구매와 연동된 구조라는 점에서, 단순 개인정보 유출을 넘어 추첨 공정성·운영 투명성 문제로 논란이 확대됐다.
□ 사고내용 요약
1. 회사명 : 위버스컴퍼니 (하이브 자회사, 팬 플랫폼 ‘위버스’ 운영)
2. 사고유형 : 내부 직원에 의한 개인정보 비인가 열람 및 외부 공유
※ 외부 해킹·시스템 침해 아님
(부수 논점) 팬사인회 당첨자 선정 공정성 의혹 제기 (회사 측은 임의 조작 불가 프로세스라고 설명)
3. 유출규모
- 특정 피해자 1명 중심의 개인정보 유출
- 대규모 회원 정보 유출 사례는 아님
- 회사 발표 기준, 2차 피해 사례 미확인
4. 유출항목 : 팬사인회 당첨자 신원 정보, 앨범 구매 수량 등 이벤트 참여 관련 정보
5. 특이사항
- 내부자 비위임에도 개인정보 접근 통제가 가능했다는 점에서
- 관리·통제 체계 전반에 대한 문제 제기
- 과거 위버스의 개인정보 노출 전력(2020~2021년) 재조명으로 이용자 신뢰 하락 가중
□ 해킹대응 타임라인
- 2025년 11월 25일 12:33경
. 팬 이벤트 담당 부서 직원이 업무와 무관하게 팬사인회 당첨자 개인정보를 조회·캡처하여 외부 메신저(비공개 단체대화방)에 무단 공유(사고 실제 발생 시점)
- 2025년 11월 말
. 피해자, 개인정보가 내부에서 언급·공유된 정황을 인지하고 문제 제기
- 2025년 12월 초
. 위버스컴퍼니 내부 조사 결과 비위 사실 인정
. 해당 직원 직무 배제
. 조사 착수 및 인사위원회 회부 검토
. 피해자 대상 사과 및 보상 안내
- 2026년 01월 초
. 피해자의 SNS(X) 공개 및 언론 보도로 사건 외부 공개
→ 개인정보 유출 논란이 팬사인회 추첨 공정성 문제로 확산(보도·사회적 이슈화 시점)
※ 본 사고는 2025년 발생했으나, 2026년 1월 외부 공개로 이슈화된 사례임
□ 개인정보 유출 관련 안내 공지
- 전사적 공개 공지보다는 피해자 개별 안내 및 사과 중심 대응
- 사고 사실, 직원 비위 인정, 조치 현황 설명
□ 대응내역
- 해당 직원 직무 배제 및 조사 진행
- 인사위원회 심의 및 법적 조치 검토
- 피해 고객 보상: 위버스샵 캐시 10만 원 지급
- 회사 입장
. 개인정보로 인한 2차 피해는 현재까지 확인되지 않음
. 사규·취업규칙 위반에 따른 엄정 조치 방침
□ 재발방지대책(권고사항)
1. 기술적 조치
- 개인정보 업무 목적 기반 접근 통제 강화(최소권한·세분화)
- 이벤트·추첨 시스템 감사 로그 무결성 강화
- 개인정보 조회·캡처·외부 전송 이상행위 탐지(UEBA/DLP)
- 내부 메신저 및 외부 공유 채널 정보 유출 통제 정책 강화
2. 관리적 조치
- 팬사인회·이벤트 추첨 로직 및 검증 절차 투명성 제고
- 내부자 보안 교육 강화 및 비위 행위 무관용 원칙 명문화
- 사고 발생 시 즉시 공개 기준 및 통지 절차 정비
- 반복 사고 방지를 위한 외부 독립 점검 수용
□ 관련기사(출처)
감사합니다.
| KT·LG U+ 침해사고 최종 조사결과 분석(25.12.30) - 과학기술정보통신부 (0) | 2026.01.08 |
|---|---|
| [서울개인택시운송사업조합] 조합원 5만명 개인정보 유출 정황_2026년 1월 (1) | 2026.01.05 |
| 2025년 해킹 대폭발 : 147건 데이터로 본 공격 패턴과 금융·통신의 붕괴 (1) | 2026.01.01 |
| [인하대학교] 랜섬웨어 공격으로 내부자료 유출 및 홈페이지 장애 발생 정황_2025년 12월 (1) | 2025.12.29 |
| [대한항공] 외부 협력업체 해킹으로 임직원 ERP 개인정보 유출 정황_2025년 12월 (0) | 2025.12.29 |