"모바일 포인트 훔쳐 쓴 해커"…KT알파에 과징금·과태료 1180만원

[이데일리 최연두 기자] 커머스 플랫폼 업체 KT알파가 사이버 공격으로 약 9만8000명의 회원 계정이 유출되면서 개인정보보호위원회로부터 1180만원의 과징금·과태료 부과 처분을 받았다. 유출된 계정 이용자 중 51명은 포인트 점수까지 도난당하는 등 2차 피해를 입은 것으로 조사됐다.

고학수 개인정보보호위원회 위원장이 지난 9일 오후 서울 종로구 정부서울청사에서 개최된 제8회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. (사진=개인정보위)

개인정보보호위원회는 지난 9일 열린 제8회 전체회의에서 개인정보보호법을 위반한 KT알파에 대해 과징금(491만원)과 과태료(690만원) 부과 결정을 내렸다고 밝혔다.

개인정보위 조사 결과, 해커는 지난 2023년 1월28일부터 2월6일까지 KT알파가 운영하는 모바일 상품권 판매 웹사이트 ‘기프티쇼’ 로그인 페이지를 겨냥해 크리덴셜 스터핑 공격을 시도했다. 인터넷주소(IP) 4305개를 이용해 총 540만번 이상 로그인을 시도했으며 9만8000명의 회원 계정으로 로그인에 성공했다.

또 해커는 기프티쇼 이용자 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람함과 동시에 포인트를 무단 사용했다. 개인정보위 측은 KT알파가 비정상적인 접속 시도를 탐지·차단하는 정책을 관리하고 관련 대응 체계를 운영하는 등의 안전조치 의무를 소홀히 했다고 판단했다.

실제 개인정보가 유출된 규모는 51명에 그쳤는데, 이는 KT알파가 다수 웹페이지에 적용한 개인정보 마스킹 조치 덕분인 것으로 확인됐다. 다만, 개인정보위는 조사 과정에서 KT알파가 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 사실을 통지한 점은 문제가 있다고 봤다.

개인정보위 측은 “개인정보 처리자는 개인정보가 유출되지 않도록 개인정보 처리 시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적”이라며 “크리덴셜 스터핑 공격을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다”고 강조했다.

한편, 전날 개인정보위 전체회의에서는 온라인 강의 제공 업체 ‘클래스유’에 대한 제재 처분도 의결했다. 클래스유는 해커가 데이터베이스(DB) 관리자 계정에 접근, 이용자 약 160만명의 개인정보를 유출해 과징금(5360만원)·과태료(720만원) 부과 결정을 받았다.