
□ 개요
2026년 07월 11일 iM금융그룹 자회사인 퀀트 투자 플랫폼 뉴지스탁이 개인정보 유출 사실을 공지하고 고객에게 공식 사과했다.
회사에 따르면 지난 8일 수사기관으로부터 관련 사실을 통보받아 사고를 인지했으며, 조사 결과 올해 3월 3일 외부 해커가 피싱(Phishing) 이메일을 이용해 관리자 계정에 불법 접근한 것으로 파악됐다.
현재까지 확인된 유출 정보는 회원구분, 아이디(ID), 닉네임, 회원번호, 최근 접속일, 회원가입일, 접속상태, 가입경로 및 '코인젠포트' 서비스 이용 고객 일부의 운영금액·거래액·매매횟수·연동포트수다. 회사는 성명과 주소는 애초 수집하지 않았으며 이메일, 휴대전화번호, 비밀번호는 유출되지 않은 것으로 확인됐다고 설명했다.
뒤늦게 사고를 인지한 뉴지스탁은 이후 관계기관에 신고한 뒤 관리자 계정과 접근 권한을 전면 점검하고 서버 및 관리자 PC 보안 점검, 피싱메일 차단과 관련 도메인 신고 등 후속 조치를 했다. 회사 측은 "현재까지 유출 정보가 악용되거나 추가 피해 사례는 확인되지 않았다"고 밝혔다.
한편 뉴지스탁은 지난 2022년 홈페이지 자유게시판의 보안 취약점을 제대로 관리하지 않아 이용자 연락처 등 개인정보가 유출돼 개인정보보호위원회로부터 과태료 처분을 받은 바 있어, 이번 사고로 개인정보 관리 체계에 대한 우려가 커지고 있다. 특히 iM뱅크(구 대구은행)의 시중은행 전환 이후 디지털 금융 혁신을 핵심 성장 전략으로 추진 중인 iM금융그룹 전체의 신뢰도에도 영향을 미칠 것으로 보인다.
□ 사고내용 요약
1. 회사명 : 뉴지스탁(iM금융그룹 계열)
2. 사고유형
- 피싱 이메일을 통한 관리자 계정 불법 접근 사고
- 회원 개인(신용)정보 유출 사고
- 사고 인지 지연(수사기관 통보로 인지) 사고
- 반복(재발) 개인정보 유출 사고(2022년 이력)
3. 유출규모
- 정확한 유출 인원 미공개(조사 중, 추가 확인 시 별도 안내 예정)
4. 유출항목
- 회원구분, 아이디(ID), 닉네임, 회원번호
- 회원 가입일, 최근 접속일, 접속상태, 가입경로
- (코인젠포트 이용 고객 일부) 운영금액·거래액·매매횟수·연동포트수
※ 성명·주소 미수집, 이메일·휴대전화번호·비밀번호는 유출되지 않음
5. 특이사항
- 회사 자체 탐지가 아닌 수사기관 통보로 사고를 인지(7월 8일)
- 실제 침해 발생(3월 3일)과 인지(7월 8일) 사이 약 4개월의 시차 존재
- 침해 경로는 피싱 이메일을 통한 관리자 계정 탈취
- 2022년에도 홈페이지 게시판 보안 취약점으로 개인정보 유출, 개인정보보호위원회 과태료 처분 이력
- 이메일·휴대전화번호·비밀번호 등 직접 악용 가능한 민감정보는 유출되지 않음
- iM금융그룹 계열사로, iM뱅크의 시중은행 전환·디지털 혁신 전략 추진 중 발생한 사고라 그룹 전체 신뢰도에 영향 우려
□ 사고대응 타임라인
- 2026년 03월 03일
. 신원불상 외부 해커, 피싱 이메일을 통해 관리자 계정 불법 접근(침해 발생 시점)
- 2026년 07월 08일
. 뉴지스탁, 수사기관 통보를 통해 유출 사실 인지
- 2026년 07월 11일
. 개인정보 유출 사실 공지 및 고객 대상 공식 사과문 게시
. 유관기관 신고 완료
. 전체 관리자 계정 및 접근권한 점검
. 관리자 PC 및 서버 보안 점검
. 피싱메일 차단 및 관련 도메인 신고
. 고객 대상 비밀번호 변경 및 동일 계정정보 변경 권고
- 조사 진행 중
. 추가 유출 항목·규모 확인 시 별도 안내 예정
□ 개인정보 유출 관련 홈페이지 안내

□ 대응내역
- 유관기관(개인정보보호위원회 등) 즉시 신고
- 전체 관리자 계정 및 접근권한 전면 점검
- 관리자 PC 및 서버 보안 점검
- 피싱메일 차단 및 관련 도메인 신고
- 홈페이지 공지 및 고객 대상 사과문 게시
- 고객 대상 비밀번호 변경 및 동일 계정정보 변경 권고
- 피해 발생 시 신속 확인 및 보상 약속
- 고객지원팀·전용 이메일·카카오톡 채널을 통한 문의·피해접수 창구 운영
□ 재발방지대책(권고사항)
1. 기술적 조치
- 관리자 계정 대상 다중인증(MFA) 의무화
- 이메일 보안 게이트웨이 및 피싱 탐지·차단 솔루션 강화
- 관리자 계정 접근 로그 실시간 모니터링 및 이상행위 탐지 체계 구축
- 관리자 권한 최소화 원칙 적용 및 정기적 권한 재검토
- 임직원 대상 피싱 모의훈련 정례화
- 침해 조기 탐지를 위한 자체 보안관제(SOC) 체계 강화
2. 관리적 조치
- 침해사고 자체 탐지 역량 강화(외부 통보 의존 탈피)
- 개인정보보호 관리체계(ISMS-P 등) 재점검
- 2022년 사고 관련 시정조치 이행 여부 재확인
- 개인정보 최소 수집·보관 원칙 재점검
- 침해사고 대응 매뉴얼 및 신속 공지 체계 정례화
- iM금융그룹 계열사 공통 보안 거버넌스 및 정기 점검 체계 구축
□ 관련기사(출처)
감사합니다.
| [깃허브(GitHub)] 개인 액세스 토큰 500여개 대량 유출, 韓 경찰 최초 포착_2026년 07월 (0) | 2026.07.17 |
|---|---|
| [정보통신기획평가원(IITP)] 개인정보 접속기록관리 시스템 해킹, 7개월 만에 재발_2026년 07월 (0) | 2026.07.15 |
| [나이키코리아] 권한 없는 제3자 접근으로 고객 개인정보 유출_2026년 07월 (0) | 2026.07.15 |
| [경기북부 경찰청] 사설탐정에 경찰 내부정보 유출한 현직 경찰관 등 5명 기소_2026년 07월 (0) | 2026.07.15 |
| [라인야후] 광고 시스템 설정 오류로 게임 이용자 식별정보 710만건 유출_2026년 07월 (1) | 2026.07.14 |