개보위, 정보관리 부실 티머니에 5억3400만원 처분...한국연구재단도 7억780만원

엔에이치엔커머스도 총 1320만원

개인정보 안전조치의무를 소홀히 해 5만1691명의 정보가 유출된 티머니에 총 5억3400만원의 과징금이 부과됐다. 12만명의 정보유출 사고가 발생한 한국연구재단에는 7억300만원의 과징금과 480만원의 과태료 처분이 내려졌다.

개인정보보호위원회는 지난 28일 '제2회 전체회의'를 개최해 이 같이 제재하기로 의결했다고 29일 밝혔다.

조사 결과에 따르면 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자인 티머니는 지난해 3월 신원 미상의 해커로부터 '카드&페이' 웹사이트에서 '크리덴셜 스터핑' 공격을 당했다.

해당 공격으로 5만1691명의 개인정보(이름·이메일 주소·휴대폰 번호·주소)가 유출되는 사고가 발생했다. 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 'T마일리지' 약 1400만원을 선물하기 기능으로 탈취하는 등 추가 피해 건도 나왔다.

개인정보위는 조사 결과 티머니가 개인정보 보호법에 따른 안전조치 의무를 소홀히 했다고 지적했다.

개인정보위 측은 "특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했지만, 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다"고 꼬집었다.

한국연구재단은 장기간 취약점 점검과 개선 누락 등 안전조치의무를 소홀한 점과 함께 유출 사고 통지를 부실하게 한 점을 지적받았다.

지난해 6월 한국연구재단이 운영하는 온라인논문투고시스템(JAMS)에서 약 12만명의 회원 개인정보(이름· ID·이메일·휴대전화번호·계좌번호 등 44개 항목)가 털렸다.

조사 결과를 보면 한국연구재단은 2013년부터 이번 사고 취약점이 존재했음에도 점검을 부실하게 한 것으로 드러났다. 유출 통지 과정에선 유출 항목 중 개인 식별성이 높은 휴대전화번호와 계좌번호, 연구자등록번호 등을 누락한 사실도 확인됐다.

이 밖에 개인정보위는 엔에이치엔커머스에 과징금 870만원과 과태료 450만원을 부과했다. 지난 2024년 9월 공격을 당한 엔에이치엔커머스는 10여년이 지난 구형 솔루션(e나무)을 사용하면서 보완 관리가 미흡했던 것으로 나타났다.

임성원 기자 sone@dt.co.kr

송경희 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 연 ‘2026년 제2회 개인정보보호위원회 전체회의’에서 의사봉을 두드리고 있다. 개인정보위 제공