개인정보위, 티머니 개인정보 유출에 과징금 5억3400만원…재발방지 시정명령

개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 ㈜티머니에 대해 과징금 5억3400만원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 명령했다. 또한 유사 사고 재발 방지를 위한 구체적인 안전조치 대책을 수립·시행하라는 시정명령도 함께 내렸다.

29일 개인정보위에 따르면, 지난해 3월 13일부터 25일까지 신원 미상의 해커가 ‘티머니 카드&페이’ 웹사이트를 대상으로 ‘크리덴셜 스터핑(Credential Stuffing)’ 방식의 해킹 공격을 감행했다. 이 공격으로 총 5만1691명의 이름, 이메일 주소, 휴대전화 번호, 주소 등 개인정보가 유출됐다.

크리덴셜 스터핑은 이미 유출된 계정과 비밀번호 조합을 활용해 다수의 웹사이트에 무차별 로그인 시도를 하는 해킹 수법으로, 로그인 실패율과 시도 횟수가 급격히 증가하는 특징이 있다.

조사 결과 해커는 국내외 9647개 IP 주소를 이용해 1초당 최대 131회, 1분당 최대 5265회 등 총 1226만 차례 이상 로그인을 시도했다. 공격 기간 중 하루 평균 로그인 시도 건수는 평상시 대비 약 68배 급증한 것으로 나타났다.

이 과정에서 5만1691명의 회원 계정 로그인이 성공했고, 개인정보가 포함된 웹페이지에 접근이 이뤄졌다. 이 중 4131명의 계정에서는 ‘선물하기’ 기능을 악용해 잔여 T마일리지 약 1400만원이 탈취된 것으로 확인됐다.

개인정보위는 티머니가 특정 IP 주소에서 대량의 반복 로그인 시도 등 명백한 이상 징후가 발생했음에도 불구하고, 침입 탐지 및 차단 조치와 이상 행위 대응을 적절히 수행하지 않았다고 판단했다.

한편 개인정보위는 지난해 6월 온라인논문투고시스템(JAMS) 해킹으로 12만 명의 개인정보가 유출된 한국연구재단에 대해서도 과징금 7억300만원을 부과했다. 또한 구형 솔루션 관리 소홀로 해킹 피해를 초래한 NHN커머스㈜에는 과징금 870만원을 부과한 바 있다.