[라인야후] 광고 시스템 설정 오류로 게임 이용자 식별정보 710만건 유출_2026년 07월
라인야후가 운영하는 '라인 포코포코' 등 게임 3종에서 해킹이 아닌 광고 분석 시스템 설정 오류로 이용자 내부 식별정보 약 710만건이 외부 광고 플랫폼으로 유출됐다. 2022년 5월부터 올해 4월까지 약 4년간 잘못된 정보 전송이 이어졌으며, 이름·주소·카드번호 등 민감정보는 포함되지 않았고 현재까지 2차 피해는 확인되지 않았다.

□ 개요
2026년 07월 14일 교도통신과 라인야후 발표에 따르면, 라인야후는 '라인 포코포코', '라인 포코팡 타운', 서비스가 종료된 '라인 포코팡' 등 게임 3종에서 이용자를 구분하기 위해 사용하는 내부 식별자 약 710만건이 외부 광고 도구로 잘못 전송됐다고 밝혔다.
유출 기간은 2022년 5월부터 올해 4월 3일까지로, 약 4년에 걸쳐 이어졌다. 유출된 정보는 이용자별로 부여된 무작위 문자열 형태의 내부 식별자로, 이름과 주소, 신용카드 번호 등 직접적인 신원 확인·결제에 활용될 수 있는 민감정보는 포함되지 않은 것으로 파악됐다.
이번 사고는 외부 해킹이 아닌, 2022년 5월 광고 표시와 효과를 분석하는 시스템의 설정을 변경하는 과정에서 발생했다. 본래 외부로 전송될 필요가 없던 내부 식별자가 파트너사의 광고 분석 도구로 함께 전송되도록 잘못 설정된 것으로, 외부 침입보다는 내부 시스템 구성·검증 과정에서 발생한 관리상 오류에 가깝다.
라인야후가 문제를 인지한 시점은 올해 4월 1일이며, 이후 조사를 진행해 해당 설정을 수정하고 추가 전송을 중단했다. 다만 오류 발생부터 발견까지 약 4년이 걸렸다는 점에서 시스템 변경 이후 점검과 개인정보 흐름에 대한 상시 감시 체계가 제대로 작동했는지를 둘러싼 논란은 피하기 어려울 전망이다.
일본 보안업계에서는 내부 식별자 기준 약 710만건, 중복 제외 실제 이용자 기준으로는 약 610만명이 영향을 받은 것으로 전해졌다. 라인야후는 현재까지 유출 정보를 악용한 부정 이용이나 추가 피해 사례는 확인되지 않았다고 설명했다.
□ 사고내용 요약
1. 회사명 : 라인야후(LY Corporation, '라인 포코포코' 외 게임 서비스)
2. 사고유형
- 시스템 설정 오류에 의한 개인정보(식별정보) 유출 사고
- 광고 분석 시스템 오설정에 따른 외부 전송 사고
- 장기간(약 4년) 미탐지된 내부 관리 오류 사고
- ※ 외부 해킹·침입에 의한 사고 아님
3. 유출규모 : 내부 식별자 기준 약 710만건(중복 제외 실이용자 약 610만명)
4. 유출항목
- 이용자 내부 식별자(무작위 문자열)
※ 이름·주소·전화번호·신용카드 번호 등 직접적 신원·결제 정보는 미포함
5. 특이사항
- 외부 해킹이 아닌 내부 시스템 설정 변경 실수가 원인
- 오류 발생(2022년 5월)부터 인지(2026년 4월 1일)까지 약 4년간 미탐지
- 대상 게임 3종 중 1종('라인 포코팡')은 이미 서비스 종료 상태
- 유출된 정보는 개인 식별용 무작위 문자열로, 민감 개인정보·금융정보는 미포함
- 현재까지 부정 이용 등 2차 피해 사례 없음
- 인지 즉시 설정 수정 및 추가 전송 중단 완료
- 시스템 변경 이후 점검·개인정보 흐름 상시 감시 체계 미비 지적
□ 사고대응 타임라인
- 2022년 05월
. 광고 표시·효과 분석 시스템 설정 변경
. 내부 식별자가 파트너사 광고 분석 도구로 잘못 전송 시작(오류 발생)
- 2026년 04월 01일
. 라인야후, 잘못된 정보 전송 사실 최초 인지
- 2026년 04월 03일
. 잘못된 정보 전송 중단(설정 수정 완료)
- 2026년 04월~07월
. 유출 경위 및 영향 범위 조사 진행
- 2026년 07월 13일~14일
. 라인야후, 공식 발표를 통해 약 710만건 유출 사실 공개
. 교도통신 등 언론 보도
. 이용자 대상 사과 및 재발 방지 방침 발표
□ 대응내역
- 오류 인지 후 잘못된 설정 즉시 수정 및 정보 전송 중단
- 유출 경위 및 영향 범위에 대한 내부 조사 진행
- 부정 이용·2차 피해 여부 모니터링
- 공식 발표를 통한 사고 사실 공개 및 이용자 사과
- 재발 방지 방침 표명
□ 재발방지대책(권고사항)
1. 기술적 조치
- 광고·분석 도구 등 외부 연동 시스템의 데이터 전송 항목 정기 검증
- 시스템 설정 변경 시 데이터 흐름(Data Flow) 영향도 사전 검토 절차 도입
- 외부 전송 데이터에 대한 실시간 모니터링·이상탐지 체계 구축
- 파트너사 SDK·API 연동 데이터 항목 화이트리스트 관리
- 서비스 종료 앱을 포함한 전체 서비스 데이터 흐름 정기 감사
2. 관리적 조치
- 시스템 설정 변경에 대한 이중 검토(Peer Review) 및 승인 프로세스 강화
- 개인정보 최소 수집·최소 전송 원칙 재점검
- 정기적인 개인정보 처리방침 및 제3자 제공 현황 점검
- 장기 미탐지 방지를 위한 설정 변경 이력 관리 및 주기적 점검 체계 마련
- 이용자 대상 투명한 사고 공지 및 문의 대응 채널 운영
□ 관련기사(출처)
감사합니다.