35분간의 데이터 노출, 포털 설계 결함이 초래한 보안 사고

Context

Civil Service Pensions Scheme(CSPS) 멤버 포털 내 Annual Benefit Statements(ABS) 생성 로직 결함 발생. 사용자 인증 정보와 데이터 매핑 오류로 타인의 개인 정보가 노출되는 보안 취약점 노출.

Technical Solution

• 데이터 유출 확인 즉시 ABS 요청 기능 전체 중단 및 서비스 오프라인 전환
• 유출 원인 파악을 위한 시스템 내부 조사 및 근본 원인 분석(Root Cause Analysis) 수행
• Microsoft Copilot을 활용한 대규모 펜션 백로그 데이터 분석 및 처리 효율화 시도
• 150명의 추가 인력을 투입한 수동 대응 체계 구축으로 시스템 기능 공백 보완
• 영향 받은 사용자 식별 및 개별 통지를 통한 사후 조치 프로세스 가동

Impact

• 약 35분간의 데이터 노출 발생
• 138명의 사용자 데이터 오배송 및 노출
• 약 86,000건의 기존 처리 지연 사례(Backlog) 존재
• 8,500명의 신규 은퇴자 연금 지급 지연
• 약 20,000건의 연금 견적 요청 미처리 상태

Key Takeaway

개인 정보 처리 시스템 설계 시 데이터 매핑 무결성 검증과 엄격한 격리 전략이 필수적임. 기능적 요구사항 충족보다 데이터 보안과 정확성이 우선되는 고신뢰 시스템 설계 원칙 준수 필요.