개인정보위, 5만명 정보 유출 ‘티머니’에 과징금 5억 3400만원 부과

[이데일리 권하영 기자] 개인정보보호위원회(위원장 송경희)는 개인정보보호법을 위반한 주식회사 티머니에 대해 과징금 5억 3400만원을 부과하고 시정명령 및 공표 명령을 의결했다고 29일 밝혔다.

개인정보위는 지난 28일 제2회 전체회의를 열고 이 같은 처분 결과를 확정했다. 조사 결과 티머니는 개인정보 보호법에 따른 안전조치 의무를 소홀히 해 개인정보 유출 사고를 초래한 것으로 확인됐다.

이번 처분은 지난해 4월 접수된 개인정보 유출 신고에 따라 진행된 조사 결과에 따른 것이다. 티머니가 운영하는 ‘티머니 카드&페이’ 웹사이트는 신원 미상의 해커로부터 2025년 3월 13일부터 3월 25일까지 공격을 받았다. 이 과정에서 회원 5만 1691명의 △이름 △이메일 주소 △휴대폰 번호 △주소 등 개인정보가 유출됐다.

해커는 ‘크리덴셜 스터핑(Credential Stuffing)’ 방식을 이용해 침입한 것으로 드러났다. 크리덴셜 스터핑이란 공격자가 다른 곳에서 확보한 계정·비밀번호 정보를 이용해 여러 사이트에 무작위로 대입, 로그인을 시도하는 해킹 수법이다.

조사 결과 해커는 국내외 9647개 아이피(IP) 주소를 동원해 총 1226만 번 이상의 로그인을 시도했다. 이는 1초당 최대 131회, 1분당 최대 5265회에 달하는 규모로, 평시 대비 일평균 로그인 시도 건수가 68배나 급증한 수치다.

해커는 로그인에 성공한 계정 중 4131명의 계정에 접근해 ‘T마일리지’ 약 1400만원을 선물하기 기능으로 탈취하는 2차 피해까지 일으켰다.

개인정보위는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도가 발생하는 등 비정상적인 이상 징후가 있었음에도 침입 탐지·차단 및 대응 조치를 소홀히 했다고 판단했다. 이에 따라 과징금 부과와 함께 사업자 홈페이지에 위반 사실을 공표하고, 재발 방지 대책을 수립해 시행하도록 명령했다.

개인정보위 관계자는 “최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위에 대한 보안대책을 점검하고 강화해야 한다”며 “개인정보 노출 페이지 내 비식별화 조치와 추가 인증 적용 등이 사고 예방에 도움이 될 수 있다”고 강조했다.