▲ 송경희 개인정보보호위원장이 지난 28일 서울 종로구 정부서울청사에서 열린 제2회 위원회 전체회의에서 발언하고 있다.
개인정보보호위원회가 개인정보 보호를 위한 안전조치 의무를 소홀히 한 ㈜티머니에 대해 과징금 5억 3천400만 원을 부과했습니다.
이와 함께 티머니 홈페이지에 과징금 부과 사실을 공표하도록 명령하고, 구체적인 재발 방지 대책을 수립해 시행하도록 했습니다.
개인정보위에 따르면 지난해 3월 13일부터 25일까지 신원 미상의 해커가 '티머니 카드&페이' 웹사이트를 '크리덴셜 스터핑' 공격 방법으로 침입해, 5만 1천691명의 이름과 이메일 주소, 휴대전화 번호, 주소 등 개인정보를 유출했습니다.
크리덴셜 스터핑 해킹은 공격자가 모종의 방법을 통해 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서 로그인에 성공할 때까지 무차별적으로 시도하는 해킹 공격입니다.
로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보입니다.
▲ 티머니 개인정보 유출 사고 개요
해커는 '티머니 카드&페이' 웹사이트에 국내·외 9천647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5천265회 등 모두 1천226만 차례 이상의 대규모 로그인을 시도했습니다.
이 중 5만 1천691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 조사됐습니다.
공격 기간의 일평균 로그인 시도 건수는 평시 대비 68배나 폭증했습니다.
로그인에 성공한 계정 중 4천131명의 계정에서 잔여 'T마일리지' 약 1천400만 원을 선물하기 기능으로 탈취하기도 했습니다.
티머니는 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했는데도 이에 대한 침입 탐지·차단 및 이상 행위 대응 등 안전조치 의무를 소홀히 한 것으로 드러났습니다.
개인정보위는 쇼핑몰 내 구형 설루션에 대한 기술지원 등을 소홀히 해 해킹으로 쇼핑몰 이용 사업자 홈페이지에서 주문자들의 개인정보 유출을 초래한 NHN커머스㈜에도 과징금 870만 원을 부과했습니다.
이 업체는 쇼핑몰 구축을 원하는 이용 사업자들에게 클라우드 방식(SaaS)으로 'e나무' 설루션을 제공해왔습니다.
2024년 9월 이 설루션의 장바구니 관련 웹페이지에서 SQL(구조적 질의 언어) 인젝션 공격으로 17개 이용 사업자 홈페이지에서 122건의 주문자 개인정보가 유출됐습니다.
문제가 발생한 'e나무'의 설루션은 서비스를 개시한 지 10여 년이 지난 구형 설루션으로 기술지원 및 보안관리가 제대로 이뤄지지 않았던 것으로 조사됐습니다.
대부분 이용사업자가 차세대 설루션으로 이전했으나, 소수의 영세 이용사업자가 홈페이지 이전·재구축을 하지 못하고 기존의 'e나무' 설루션을 계속 이용하다가 개인정보 유출 사고가 발생했습니다.
NHN커머스는 유출 사고 이후 개인정보위에 72시간 내 유출 신고를 완료했으나, 정작 피해를 본 이용 사업자들에게 제때 유출 통지를 하지 않았습니다.
개인정보위는 정보 주체에 대한 유출 통지를 72시간 내 하지 않은 점을 근거로 이 업체에 과태료 450만 원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 했습니다.
(사진=개인정보보호위원회 제공, 연합뉴스)
댓글