5만1000명 개인정보 유출 ‘티머니’ 과징금 5억3000만원

해커에 T마일리지 탈취 피해도
주문자 정보유출 NHN커머스에 과징금·과태료

▲ 송경희 개인정보보호위원장이 28서울 종로구 정부서울청사에서 열린 제2회 위원회 전체회의에서 발언하고 있다. 연합뉴스

개인정보보호위원회가 개인정보 보호를 위한 기술적·관리적 안전조치 의무를 제대로 이행하지 않은 티머니와 NHN커머스에 과징금과 과태료를 부과했다.

개인정보위는 29일 ㈜티머니에 대해 과징금 5억3400만원을 부과하고, 해당 처분 사실을 티머니 홈페이지에 공표하도록 명령했다고 밝혔다. 아울러 구체적인 재발방지 대책을 마련해 시행하도록 시정명령도 내렸다.

개인정보위 조사 결과, 지난해 3월 13일부터 25일까지 신원 미상의 해커가 ‘티머니 카드&페이’ 웹사이트를 대상으로 이른바 ‘크리덴셜 스터핑’ 공격을 감행해 5만1691명의 개인정보가 유출됐다. 유출된 정보는 이름, 이메일 주소, 휴대전화 번호, 주소 등이다.

크리덴셜 스터핑은 공격자가 이미 확보한 계정·비밀번호 정보를 이용해 다른 사이트에 무작위로 로그인을 시도하는 방식의 해킹 수법이다. 짧은 시간 동안 로그인 시도 횟수와 실패율이 급증하는 것이 특징이다.

해커는 국내·외 9647개의 아이피(IP) 주소를 활용해 ‘티머니 카드&페이’ 사이트에 1초당 최대 131회, 1분당 최대 5265회 등 총 1226만 차례가 넘는 로그인을 시도한 것으로 조사됐다.

이 가운데 5만1691개 계정에서 로그인에 성공해 개인정보가 포함된 페이지에 접근했다. 공격 기간 동안 하루 평균 로그인 시도 건수는 평상시보다 68배 이상 증가했다.

또 해커는 로그인에 성공한 계정 중 4천131개의 계정에서 잔여 ‘T마일리지’ 약 1400만원을 선물하기 기능을 통해 빼돌린 것으로 확인됐다.

개인정보위는 티머니가 특정 IP에서 대량의 반복적인 로그인 시도가 발생하는 등 명백한 이상 징후가 있었음에도 침입 탐지·차단이나 이상 행위 대응 등 필수적인 보안 조치를 제대로 하지 않았다고 판단했다. 이 같은 관리 소홀로 고객 개인정보 유출 피해가 발생했다는 것이다.
 

▲ 티머니 개인정보 유출 사고. 개인정보보호위원회 제공

이와 함께 개인정보위는 쇼핑몰 솔루션 보안 관리에 소홀했던 NHN커머스㈜에 대해서도 과징금 870만원을 부과했다. NHN커머스는 쇼핑몰 구축을 원하는 사업자들에게 클라우드 방식(SaaS)으로 ‘e나무’ 솔루션을 제공해 왔다.

지난해 9월 ‘e나무’ 솔루션의 장바구니 관련 웹페이지에서 SQL 인젝션 공격이 발생해 17개 이용 사업자의 홈페이지에서 주문자 개인정보 122건이 유출됐다. 문제가 된 솔루션은 서비스 개시 후 10년 이상 지난 구형으로, 기술 지원과 보안 관리가 충분히 이뤄지지 않았던 것으로 조사됐다.

대부분의 이용 사업자는 차세대 솔루션으로 이전했지만, 일부 영세 사업자가 기존 ‘e나무’ 솔루션을 계속 사용하면서 개인정보 유출 사고가 발생한 것으로 나타났다.

NHN커머스는 사고 발생 이후 개인정보위에 72시간 이내 유출 신고를 했으나, 정작 피해를 입은 이용 사업자들에게는 제때 유출 사실을 알리지 않았다. 개인정보위는 정보주체에 대한 유출 통지를 72시간 내 하지 않은 점을 근거로 과태료 450만원을 추가로 부과하고, 행정처분 사실을 홈페이지에 공표하도록 했다.

개인정보위는 이번 처분과 관련해 “대규모 로그인 시도 등 이상 징후에 대한 상시 점검과 구형 시스템에 대한 지속적인 보안 관리가 필수적”이라며 기업들의 각별한 주의를 당부했다.