분당 5천265회 비정상 로그인 외면한 티머니…과징금 5.3억원

사진=개인정보보호위원회

개인정보보호위원회는 개인정보 안전조치 의무를 소홀히 한 티머니에 대해서 5억 3천400만원의 과징금을 부과했다고 오늘(29일) 밝혔습니다.

개인정보위에 따르면 티머니는 지난 2025년 3월 13일부터 25일까지 ‘티머니 카드&페이’ 웹사이트에 신원 미상의 해커가 침입해 5만 1천691명의 이름, 이메일, 휴대폰 번호, 주소 등 개인정보를 빼갔습니다.

어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용하여 성공할 때까지 로그인을 시도하는 해킹 공격인 크리덴셜 스터핑이란 방식을 동원했는데, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 가집니다.

그런데 티머니는 해커가 티머니 카드&페이 웹사이트에 국내·외 9천647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5천265회, 총 1천226만 번 이상 대규모로 로그인을 시도했음에도 침입 탐지·차단 및 이상행위 대응 등을 하지 않았습니다.

그 결과 5만 1천691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근했고, 4천131명의 계정에서 잔여 ‘T마일리지’ 약 1천400만 원을 선물하기 기능으로 탈취했습니다.

개인정보위 조사 결과에 따르면 해커는 티머니 카드&페이 웹사이트에 국내·외 9천647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5천265회, 총 1천226만 번 이상 대규모로 로그인을 시도*했다. 이 중 51,691명의 회원 계정으로 로그인에 성공하여 개인정보가 포함된 웹페이지에 접근한 것으로 확인되었다.

개인정보위는 또 2024년 9월 'SQL 인젝션' 공격으로 'e나무 솔루션' 내 17개 이용사업자 홈페이지에서 122건의 주문자 개인정보 유출사고가 벌어진 엔에이치엔커머스에 대해서도 과징금 870만 원과 과태료 450만 원을 각각 부과했습니다.

당신의 제보가 뉴스로 만들어집니다.SBS Biz는 여러분의 제보를 기다리고 있습니다.홈페이지 = https://url.kr/9pghjn

저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지