[한국음악콘텐츠협회(써클차트)] SQL인젝션 해킹으로 회원 개인정보 6만5천여 건 유출_2025년 08월
한국음악콘텐츠협회, 비밀번호·주민번호 평문 저장 상태로 65,394건 유출…공지·대응 지연 논란

□ 개요
2025년 5월 19일, 한국음악콘텐츠협회가 운영하는 ‘써클차트’ 홈페이지가 SQL Injection 공격을 받아 2018년 3월 이전 가입자 정보를 포함한 임시 회원관리 테이블이 외부로 반출되는 사고가 발생했다.
유출된 정보는 이름, 아이디, 비밀번호, 주민등록번호, 이메일, 생년월일, 성별, 전화번호, 주소 등 민감 개인정보를 포함해 총 65,394건에 달한다. 특히 비밀번호와 주민등록번호가 암호화되지 않은 평문 상태로 저장되어 있었으며, 유출 사실을 인지한 이후 피해 회원 통지가 두 달 가까이 지연돼 2차 피해 우려가 제기되고 있다.
□ 사고내용 요약
1. 회사명 : 한국음악콘텐츠협회(써클차트)
2. 사고유형 : 웹 취약점(SQL Injection) 해킹에 의한 회원 개인정보 유출
3. 개인정보 유출규모 : 총 65,394건
4. 유출항목 : △아이디 △비밀번호(평문) △이름 △주민등록번호(평문, 2013년 이후 미수집) △이메일 △암호 찾기 질문·답변 △생년월일 △성별 △전화번호 △통신사 △주소 △우편번호
※ 2013년 이후 가입자에 대해서는 주민등록번호 미수집
□ 해킹대응 타임라인
- 2025년 5월 19일 : 데이터 수집 비정상 동작 발생(이상징후 포착)
- 2025년 5월 20일 : 원인 점검 중 외부 해킹 시도 확인
- 2025년 5월 22일 : 시스템 이상 행위 및 언론사 메일 유출(18건) 최초 확인, 같은 날 개인정보보호위원회·KISA에 신고 및 18건 개별 안내
- 2025년 6월 26일 : KISA ‘취약정보·해킹로그 분석’ 리포트 전달(기관 통보)
- 2025년 7월 4일 : PIPC 통지로 과거 회원 개인정보 유출(총 65,394건) 확인 및 홈페이지 팝업 공지 게시(원인: 웹취약점(SQL Injection) 악용)
- 2025년 8월 6일 : 개인정보 유출 범위 확정
- 2025년 8월 6일~7일 : 피해자 개별 이메일 통지 발송
- 2025년 8월 13일 : ‘사과문 및 현황 안내’ 공지 게시
- 2025년 8월 14일 : 개인별 유출 내역 조회용 안내(조회 URL 공개 공지·팝업 운영)
- 2025년 12월 16일 : 개인정보 유출 관련 ‘후속 조치/보상안’ 안내 메일 발송 안내(대상 회원 한정, 11:30부터 순차 발송)
- 2025년 12월 18일 : 보상안(협회 개최 콘서트 초대권 1인 2매) 및 신청 기한(2026년 1월 3일까지) 안내 내용 언론 보도
- 2025년 12월 17일~18일 : 보상안(공연/콘서트 초대권 등) 관련 언론 보도 확산
□ 홈페이지 개인정보 유출 사과 공지(최초 공지)


□ 홈페이지 개인정보 유출 사과 공지(2차 공지)

□ 개인정보 유출 관련 이메일 발송

□ 개인별 유출 내역 조회용 안내




'개인별 유출 내역 조회용 안내 메일' 발송에 대한 메일서버 보안설정 미흡
메일 발신자 주소(k-mca.or.kr)와 실제 발송 서버 도메인(ktbizoffice.com) 불일치로 실제 정상 발송 메일이라도 스팸으로분류되거나, 수신자가 피싱 메일로 오인할 수 있으므로 SPF·DKIM·DMARC 인증 설정을 통해 발신자 도메인과 발송 서버의 정합성을 확보해야 함.
From: <press@k-mca.or.kr> // 수신된 메일에 발신자 표시 주소
Received: from edge3.ktbizoffice.com ([211.62.105.172]) // 실제 메일 발송 주소

'회원이름 미표기(표기누락)', '잘못된 인증번호입니다.' 등 인증 신뢰도 문제
인증화면 내 회원 이름이 누락되거나, 올바른 인증번호 입력 시에도 ‘잘못된 인증번호’ 메시지가 표시 및 인증되는 상황은 인증 절차에 대한 사용자 신뢰도를 저하시킬 수 있으며, 실제 개인정보 유출 여부 확인 과정의 정확성을 훼손할 위험이 있음.
정확한 회원 정보 표기와 인증 로직 검증을 통해 오류를 사전에 방지해야 함.
□ 재발방지대책(권고사항)
- 유출 원인인 취약 페이지 차단 및 보안 패치
- 평문 저장된 민감정보(비밀번호·주민등록번호) 암호화
- 유출 테이블 격리 및 접근 통제 강화
- 관계기관 신고·조사 협조
- 피해 회원에 대한 비밀번호 변경 및 2차 인증(OTP) 활성화 권고
- 스팸·피싱·금융사기 예방 안내 및 주민등록번호 변경 절차 안내
□ 재발방지대책(권고사항)
1. 기술적 조치
- 웹방화벽(WAF) 및 DB 보안솔루션 설치, 실시간 탐지/차단 정책 적용
- 모든 민감정보 암호화(비밀번호 → 해시+Salt, 주민등록번호 → 강력한 암호 알고리즘)
- SQL Injection 방어를 위한 시큐어코딩 적용
- (기타)SPF·DKIM·DMARC 설정을 통해 메일 발신자 인증 필요
* 개인정보 유출 여부 이메일 발송에 대한 개선 필요사항
2. 관리적 조치
- 침해사고 즉시 통지 절차 수립 및 72시간 내 대응 프로세스 준수
- 정기 모의해킹·취약점 점검 의무화
- 개인정보 보호 교육 및 보안 인식 제고 훈련 강화
□ 관련기사(출처)
감사합니다.