본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

사고 & 취약점

Benesse 개인정보 유출 사건(2014) — 내부 부정은 왜 막지 못했나, 최소 권한과 위탁처 관리

2014년, Benesse의 고객정보 최대 약 3,504만 건이 업무를 위탁하던 그룹 회사의 파견 엔지니어에 의해 반출되어 명부업자에게 매각되었습니다. 정규 접근 권한을 가진 내부자가 감시의 구멍(USB는 차단했으나 스마트폰으로의 전송은 허용했다)을 찔렀습니다. 최소 권한·모든 반출 경로의 DLP·대량 접근 탐지·위탁처/재위탁처 관리로 방어하세요.

게시 2026-07-07 업데이트 2026-07-07 8분 읽기

실제로 일어난 공개 사고를, 뉴스의 재방송이 아니라 "당신의 환경에서 어떻게 막을 것인가" 의 관점으로 읽어냅니다. 본 글은 공개 기록(기업 공식·당국·보도)에 근거한 해설입니다. 출처는 말미에 명기하며, 공격 재현 절차나 개인 특정 정보는 다루지 않습니다.

최대 약 3,504만 건
유출된 고객정보
내부 부정
정규 접근 권한을 가진 위탁처의 내부자
약 200억 엔
보상을 위한 충당(규모)
경로의 구멍
USB는 차단/스마트폰 전송(MTP)은 그대로 통과
사고 요약 / CASE FILE
대상
통신 교육 서비스의 고객정보(이름·주소·생년월일·전화번호 등)
발각
2014년 6〜7월(고객에게 타사 DM 유입으로 발각, 7월 9일 공표)
수법 분류
위탁처 그룹 회사의 파견 엔지니어에 의한 내부 부정: 정규 DB 접근 → 대량 추출 → 개인 스마트폰으로 전송 → 명부업자에게 매각
영향 규모
최대 약 3,504만 건(당시 국내 최대급의 개인정보 유출)
근본 원인
내부자에 대한 과도한 권한 + 반출 경로의 구멍(USB는 차단했으나 MTP 스마트폰 전송은 미차단) + 대량 접근의 탐지 부족 + 위탁처/재위탁처에 대한 관리의 허술함
본질적 대책
최소 권한·need-to-know/모든 반출 경로를 막는 DLP/대량 접근의 탐지·감사 로그/위탁처·재위탁처의 관리와 감독

무슨 일이 일어났나 (쉽게)

많은 보안 대책은 "외부로부터의 공격"을 상정합니다. 그러나 이 사건에서 정보를 반출한 것은 정규 접근 권한을 부여받은 내부의 사람 이었습니다. Benesse는 고객 데이터베이스의 운용·유지보수를 그룹 회사(위탁처) 에 맡겼고, 그 현장에서 일하는 파견 시스템 엔지니어 가 업무를 위해 부여받은 권한으로 고객정보를 대량으로 빼냈습니다.

결정적이었던 것은 반출 경로의 구멍 입니다. 기업의 정보 반출 대책은 "USB 저장장치로의 기록을 금지한다"까지는 미쳐 있는 경우가 많은 한편, 스마트폰으로의 데이터 전송(MTP라는 방식) 은 놓치기 쉽습니다. 이 현장에서도 USB 기록은 막았는데, 개인 스마트폰으로의 전송은 그대로 통과 였습니다. 빼낸 정보는 명부업자 에게 팔려 2차적으로 확산되었습니다. 밖에서 뚫린 것이 아니라, 안쪽에서, 정규의 권한과, 막는 것을 잊은 경로가 조합된 것이 본질입니다.

내부 부정은 '바깥 벽'으로는 멈추지 않는다

방화벽이나 침입 탐지는 "밖에서 들어오는 공격"을 대상으로 합니다. 그러나 정규 권한을 가진 내부자는 그 벽의 '안쪽'에 있습니다. 그래서 내부 부정의 대책은 다른 축 — 권한을 좁힌다·반출을 전 경로에서 막는다·대량 접근을 탐지한다·위탁처까지 관리를 미치게 한다 — 이 필요합니다. "신뢰하는 사람이니까"는 권한을 좁히지 않는 이유가 되지 않습니다.

공격의 연쇄는 '방어의 지도'이기도 하다

이 사건도 각 단계에 멈출 곳이 있었던 연쇄였습니다. 공격 절차가 아니라 어디에서 끊을 수 있었는가 로서 읽어 주세요.

① 내부자에게 과도한 권한

정규 접근으로 필요 이상의 고객 데이터에 닿을 수 있었다.

⊘ 멈출 곳: 최소 권한·need-to-know·직무 분리·접근 범위의 정기 재고 조사

② 대량 데이터를 개인 디바이스로 반출

USB는 차단되어 있었지만, 스마트폰 전송(MTP)은 막지 못했다.

⊘ 멈출 곳: 모든 반출 경로를 막는 DLP(USB/스마트폰/MTP/클라우드/인쇄)·대량 익스포트의 탐지

③ 위탁처·재위탁처에서의 관리 공백

운용을 외부에 맡겨 현장 실태에 대한 관리가 미치기 어려웠다.

⊘ 멈출 곳: 위탁처·재위탁처의 가시화·계약과 기술의 양륜·정기 감사

④ 명부업자에게 매각·2차 확산

반출된 정보가 매각되어 추적 곤란한 형태로 퍼졌다.

⊘ 멈출 곳: 로그 감시와 조기 탐지·애초에 대량 반출을 불가능하게 하는 설계

연쇄의 각 단계에서 '멈출 수 있었다'. 다층 방어란 한 장의 벽이 아니라 이 멈출 곳을 여러 개 갖는 것.

공표된 시계열

  1. 2014-06

    고객에게 타사로부터의 다이렉트 메일이 도착하기 시작하고, 유출을 의심하는 문의가 급증.
  2. 2014-07-09

    Benesse가 고객정보의 유출을 공표(당초에는 최대 약 2,070만 건의 가능성으로 설명).
  3. 2014-07-17

    경시청이 위탁처 그룹 회사의 파견 시스템 엔지니어를 부정경쟁방지법 위반 혐의로 체포. 반출과 명부업자에게의 매각을 인정했다고 보도됨.
  4. 2014-09-10

    유출 건수를 최대 약 3,504만 건으로 공표. 피해를 입은 고객에게의 상품권(500엔)과, 총액 약 200억 엔 규모의 보상·재발 방지 방침을 표명.
  5. 2014〜2015

    경영진이 인책. 경제산업성(METI)이 개선을 권고. 개인정보보호법 개정(명부업자에 대한 규제 강화 등)의 계기 중 하나가 됨.
  6. 2016

    실행한 전 파견 사원에게 유죄 판결(실형·벌금).

근본 원인은 '한 사람의 악의'가 아니라 층의 무너짐

이 사건을 "나쁜 개인이 있었다"로 처리하면 재발합니다. 실제로는 내부 부정을 멈추기 위한 여러 층이 동시에 얇았던 것이 본질입니다.

무너져 있던 구성(사고 시)

  • 위탁처의 담당자에게 필요 이상의 데이터에 닿는 권한이 있었다
  • 반출 대책에 구멍(USB는 차단, 스마트폰 전송(MTP)은 그대로 통과)
  • 대량의 열람·반출을 탐지·경고하는 구조가 약했다
  • 위탁처·재위탁처의 현장 실태에 대한 관리가 미치기 어려웠다

지켜진 구성(재발 방지)

  • 최소 권한·need-to-know로, 닿을 수 있는 데이터를 필요 범위로 한정
  • 모든 반출 경로를 막는 DLP(USB/스마트폰/클라우드/인쇄)
  • 대량 접근·대량 익스포트의 탐지와 알림·감사 로그
  • 위탁처·재위탁처의 가시화와 감사(계약+기술의 양륜)

사후의 대가는 사전의 설계 투자보다 훨씬 크다

Benesse는 피해자에게의 보상(상품권·총액 약 200억 엔 규모의 충당)을 실시하고, 경영진이 인책하고, 감독 관청의 권고를 받았습니다. 이 사건은 개인정보보호법의 개정을 뒷받침하는 사회적 계기이기도 했습니다. 신뢰의 실추·보상·규제 대응의 비용은, 사전에 권한과 경로를 좁히는 투자보다 훨씬 크게 듭니다. 지켜야 할 개인정보의 양에 걸맞은 내부 통제를, 사고가 나기 전에 설계해 두는 것이 본질입니다.

당신의 환경에서의 재발 방지

외부 공격 대책을 아무리 단단히 해도, 내부의 정규 사용자는 벽의 안쪽에 있습니다. 규모를 불문하고 효과가 있는, 우선순위 순의 대책입니다.

1

권한을 필요 최소한으로 줄인다(최소 권한·need-to-know)

운영 담당·위탁처를 포함해, 프로덕션 데이터에 닿을 수 있는 범위를 업무에 필요한 최소한 으로 좁힙니다. 인증과 인가의 차이를 설계하고, SSH 키 최소 권한의 사고방식을 키·계정 전반에 적용합니다. 권한은 정기적으로 재고 조사합니다.

2

반출 경로를 '전부' 막는다(DLP)

USB 저장장치뿐만 아니라, 스마트폰 전송(MTP)·클라우드 업로드·이메일 첨부·인쇄 까지, 데이터가 밖으로 나가는 경로를 찾아내 닫습니다. "USB는 금지했다"로 만족하지 않습니다. 막지 못하는 경로를 하나라도 남기면 그곳이 구멍이 됩니다.

3

대량 접근·대량 반출을 탐지한다

"한 사람이 단시간에 대량의 고객 데이터를 열람·익스포트했다"를 탐지하고, 알림·승인·일시 정지할 수 있도록 합니다. 누가·언제·얼마나 닿았는지의 감사 로그를 남깁니다. 막지 못하더라도 알아차리고 멈추기까지의 시간을 짧게 하면 피해는 작아집니다.

4

위탁처·재위탁처까지 관리를 미치게 한다

외부 위탁은 책임의 이전이 아닙니다. 재위탁의 범위와 실태를 파악하고, 계약(비밀 유지·감사권)과 기술(권한·DLP·로그)의 양륜으로 관리합니다. 중대규모 조직을 위한 보안 베이스라인을 위탁처에도 적용합니다.

본 사이트의 설계 사상과 겹치는 점

이 사건의 본질은, 정규 권한을 가진 내부자에게, 필요 이상의 데이터에의 도달과, 막는 것을 잊은 반출 경로를 허용하고 있었다 는 것입니다. 본 사이트 자신의 원칙 — 최소 권한·폭발 반경의 최소화·모든 경로를 전제로 지킨다 — 와 정확히 뒤집힌 관계에 있습니다. 외부 공격만을 경계하고, IDOR이란과 같은 접근 제어나 내부의 반출을 경시하면 같은 구멍이 뚫립니다. "권한을 좁히고·경로를 전부 막고·대량 접근을 탐지하고·위탁처까지 미치게 한다"는, 규모를 불문하고 누구나 구현할 수 있는 방어입니다.

출처(공개 기록)

본 글의 사실은 이하의 공개 정보에 근거합니다. 공격 재현 절차나 개인 특정 정보는 다루지 않고, 방어의 교훈에 집중하고 있습니다.

  • 주식회사 Benesse 홀딩스/Benesse 코퍼레이션 공식 발표(개인정보 유출에 관한 안내·고객 본부, 2014〜) — benesse.co.jp
  • 경제산업성(METI) "개인정보 보호에 관한 대응" 관련 공표 (2014) — meti.go.jp
  • 개인정보보호위원회(및 전신 조직) 관련 자료·개인정보보호법 개정 논의 (2014〜2015) — ppc.go.jp

다음에 읽기

FAQ

QBenesse 사건의 근본 원인은 무엇인가요?
A

외부 공격이 아니라 내부 부정입니다. 업무를 위탁하던 그룹 회사의 파견 시스템 엔지니어가 정규로 부여받은 데이터베이스 접근 권한을 사용해 고객정보를 대량으로 빼냈습니다. 게다가 감시 소프트웨어는 USB 저장장치로의 기록은 막았지만 개인 스마트폰으로의 전송(MTP)은 막지 못했습니다. 과도한 권한·반출 경로의 구멍·위탁처/재위탁처에 대한 관리의 허술함이 겹친 결과입니다.

Q외부로부터의 공격 대책을 하고 있으면 막을 수 있나요?
A

막을 수 없습니다. 이 사건은 정규 접근 권한을 가진 내부자에 의한 것입니다. 방화벽이나 침입 탐지는 '밖에서 들어오는 공격'을 대상으로 하지만, 내부 부정은 다른 축의 대책이 필요합니다. ①권한을 필요 최소한으로 줄인다(최소 권한·need-to-know) ②대량의 열람·반출을 탐지한다 ③반출 경로를 '전부' 막는다 ④위탁처·재위탁처까지 관리를 미치게 한다 — 이 네 가지가 본질입니다.

Q중소 규모 조직이나 1인 개발에서도 배울 점이 있나요?
A

있습니다. ①운영 담당자나 위탁처에 프로덕션 데이터에 대한 '너무 넓은' 권한을 주지 않는다 ②손쉽게 복사할 수 있는 경로(USB·스마트폰·클라우드·인쇄)를 재고 조사하여 닫는다 ③'누가·언제·얼마나' 접근했는지의 로그와 대량 접근 알림을 갖춘다 ④외주·재위탁의 범위와 실태를 파악한다. 규모가 작을수록 '신뢰했으니까'라며 권한을 좁히지 않는 함정에 빠지기 쉽습니다.