투데이e코노믹 = 우혜정 기자 | 해킹 공격에 대한 대응을 소홀히 해 고객 5만여 명의 개인정보를 유출한 티머니가 5억 원대의 과징금 처분을 받았다. 평소보다 60배 이상 급증한 비정상적 접속 트래픽을 적절히 차단하지 못하면서 개인정보 유출은 물론 2차 금전 피해까지 발생한 책임이 인정됐다.

개인정보보호위원회는 29일 전체회의를 열고 개인정보 보호를 위한 안전조치 의무를 위반한 ㈜티머니에 대해 과징금 5억3400만원을 부과하고, 과징금 부과 사실을 홈페이지에 공표하도록 명령했다. 아울러 재발 방지 대책을 수립·이행하라는 시정명령도 함께 의결했다.

이번 처분은 지난해 3월 발생한 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격에 따른 개인정보 유출 사고에 따른 것이다. 크리덴셜 스터핑은 이미 유출된 아이디와 비밀번호를 이용해 다른 웹사이트에 무작위로 로그인 시도를 하는 해킹 수법이다.

개인정보위 조사 결과, 해커는 지난해 3월 13일부터 25일까지 국내외 9647개 IP 주소를 이용해 ‘티머니 카드&페이’ 웹사이트에 1226만회 이상 로그인을 시도했다. 공격 강도는 초당 최대 131회, 분당 최대 5265회에 달했으며, 공격 기간 동안 일평균 로그인 시도 건수는 평소 대비 68배까지 급증했다.

'선물하기' 기능 이용해 1400만원 상당 금전 탈취

이 같은 명백한 이상 징후에도 티머니는 대량 로그인 시도에 대한 침입 탐지 및 차단 조치를 적시에 수행하지 못했다. 그 결과 해커는 5만1691명의 계정으로 로그인에 성공해 이름, 이메일 주소, 휴대전화 번호, 주소 등 개인정보를 유출했다. 또한 로그인에 성공한 계정 중 4131명의 계정에서는 ‘선물하기’ 기능을 악용해 약 1400만원 상당의 T마일리지가 탈취되는 금전 피해도 발생했다.

개인정보위는 “대규모 반복 로그인 시도와 비정상적인 트래픽이 발생했음에도 적절한 대응이 이뤄지지 않았다”며 “이는 개인정보 보호를 위한 기술적·관리적 안전조치 의무를 소홀히 한 것”이라고 판단했다.

개인정보위는 최근 크리덴셜 스터핑 공격이 빈번하게 발생하고 있다며, 각 사업자에게 보안 체계 전반에 대한 긴급 점검과 강화를 요구했다. 특히 개인정보가 노출될 수 있는 화면에서는 정보를 비식별화해 표시하고, 개인정보가 포함된 페이지 접근 시에는 추가 인증 절차를 적용할 것을 권고했다.

한편 개인정보위는 같은 날 쇼핑몰 솔루션 보안 관리 소홀로 개인정보 유출 사고를 낸 NHN커머스㈜에 대해서도 과징금 870만 원과 과태료 450만 원을 부과했다. NHN커머스는 구형 솔루션 ‘e나무’의 보안 취약점을 방치해 SQL 인젝션 공격으로 17개 쇼핑몰에서 주문자 개인정보 122건을 유출한 것으로 조사됐다. 유출 사실을 당국에는 신고했지만, 피해를 입은 이용 사업자들에게 제때 통지하지 않은 점도 제재 사유로 인정됐다.

개인정보위는 “개인정보를 처리하는 모든 사업자는 공격 징후에 대한 상시 모니터링과 신속한 대응 체계를 갖춰야 한다”며 “기본적인 보안 관리 소홀도 대규모 제재로 이어질 수 있다”고 강조했다.