클래스유·KT알파 개인정보 유출로 과징금 5851만원 부과

개인정보 유출 사고로 온라인 강의 플랫폼 클래스유와 디지털 커머스 기업 KT알파가 개인정보보호법 위반에 따른 제재를 받았다.

개인정보보호위원회는 9일 전체회의를 열고 클래스유에 과징금 5360만원과 과태료 720만원, KT알파에 과징금 491만원과 과태료 690만원을 부과했다고 10일 밝혔다.

클래스유는 해커가 확보한 데이터베이스 관리자 계정을 통해 약 160만 명 이용자의 개인정보가 유출된 사건이 발생한 것으로 조사됐다.

유출 기간은 2023년 8월부터 2024년 7월까지로, 해당 기업은 DB 접근 제한 조치를 하지 않았고, 관리자 계정을 여러 인원이 공유하는 등 안전조치 의무를 다수 위반했다.

특히 이용자의 주민등록번호와 계좌번호를 암호화하지 않고 저장했으며, 신분증 사본을 파기하지 않고 보관한 사실도 드러났다.

유출 사실을 인지한 이후에도 법정기한인 72시간을 초과해 늑장 통지를 한 점도 지적됐다. 다만 재무 상황 등을 고려해 과징금은 감경됐다.

KT알파는 모바일 상품권 서비스 ‘기프티쇼’ 웹사이트에서 발생한 크리덴셜 스터핑 공격으로 인해 약 9만8000개 회원 계정이 무단 로그인됐고, 이 중 51명의 개인정보가 열람되거나 포인트가 무단 사용됐다.

공격은 2023년 1월 말부터 2월 초까지 진행됐으며, 해커는 총 4305개 IP를 활용해 약 540만 번 이상의 로그인 시도를 벌였다.

KT알파는 로그인 이상행위 탐지와 차단 체계가 부족했고, 유출 인지 후 통지 의무도 미흡했던 것으로 확인됐다.

개인정보보호위원회는 두 기업 모두에 대해 공표 명령과 함께 시정조치를 요구했으며, 보안 취약점 점검 및 개인정보 보호 강화 방안 마련을 주문했다.

위원회는 “접근 통제와 마스킹, 이상 행위 탐지 등의 보안 체계 강화가 개인정보 유출 방지의 핵심”이라고 강조했다.

다른기사보기

신혜연 (karung2@sabanamedia.com) 기사제보