티머니, 5만명 개인정보 유출…과징금 5억3400만원

김광연 기자 2026. 1. 29. 11:00
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

반복적 공격 등 이상행위 대응 소홀로 2차 피해 발생
개인정보보호위원회가 28일 전체회의를 열고 개인정보보호법을 위반한 티머니에 총 5억 3400만원의 과징금을 부과하고 시정명령 및 공표 명령하기로 의결했다고 29일 밝혔다.
2024년 10월 27일 오후 서울 서초구 서울고속버스터미널에서 시민들이 버스표를 구매하고 있다. / 뉴스1

개인정보위는 2025년 4월 11일 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것으로 확인했다.

개인정보위에 따르면 2025년 3월 13일부터 25일까지 신원 미상의 해커는 크리덴셜 스터핑(Credential Stuffing) 공격으로 '티머니 카드&페이' 웹사이트에 침입했다. 티머니는 이 과정에서 5만1691명의 이름과 이메일 주소, 휴대폰 번호, 주소를 유출시켰다. 티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자다.

해당 기간 해커는 '티머니 카드&페이' 웹사이트에 국내·외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만번 이상 대규모로 로그인을 시도했다. 이 중 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.

또 이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 'T마일리지' 약 1400만원을 선물하기 기능으로 탈취해 추가적인 피해가 발생했다.

개인정보위는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했음에도 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 했다고 판단했다. 그 결과 개인정보 유출 피해로 이어졌다는 것이다. 

한편 개인정보위는 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부했다. 또한, 개인정보 노출 페이지 내 개인정보 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 적용 등의 조치가 추가적인 사고 예방에 도움이 될 수 있다고 강조했다.

김광연 기자
fun3503@chosunbiz.com

Copyright © IT조선. 무단전재 및 재배포 금지.