해커에 T마일리지 탈취당하기도…주문자 정보유출 NHN커머스에 과징금·과태료
(서울=연합뉴스) 양정우 기자 = 개인정보보호위원회는 개인정보 보호를 위한 안전조치 의무를 소홀히 한 ㈜티머니에 대해 과징금 5억3천400만원을 부과하고, 티머니 홈페이지에 과징금 부과 사실을 공표하도록 명령했다고 29일 밝혔다.
또 구체적인 재발방지 대책을 수립해 시행하도록 시정명령했다.
개인정보위에 따르면 지난해 3월 13일부터 25일까지 신원 미상의 해커가 '티머니 카드&페이' 웹사이트를 '크리덴셜 스터핑' 공격 방법으로 침입해 5만1천691명의 이름과 이메일 주소, 휴대전화 번호, 주소 등 개인정보를 유출했다.
크리덴셜 스터핑 해킹은 공격자가 모종의 방법을 통해 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서 로그인에 성공할 때까지 무차별적으로 시도하는 해킹 공격이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.
해커는 '티머니 카드&페이' 웹사이트에 국내·외 9천647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5천265회 등 모두 1천226만 차례 이상의 대규모 로그인을 시도했다. 이 중 5만1천691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 조사됐다.
공격 기간의 일평균 로그인 시도 건수는 평시 대비 68배나 폭증했다.
이 과정에서 해커는 로그인에 성공한 계정 중 4천131명의 계정에서 잔여 'T마일리지' 약 1천400만원을 선물하기 기능으로 탈취하기도 했다.
티머니는 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했는데도 이에 대한 침입 탐지·차단 및 이상 행위 대응 등 안전조치 의무를 소홀히 한 것으로 조사됐다. 이는 티머니 고객들의 개인정보 유출 피해로 이어졌다.
개인정보위는 쇼핑몰 내 구형 설루션에 대한 기술지원 등을 소홀히 해 해킹으로 쇼핑몰 이용 사업자 홈페이지에서 주문자들의 개인정보 유출을 초래한 NHN커머스㈜에도 과징금 870만원을 부과했다.
이 업체는 쇼핑몰 구축을 원하는 이용 사업자들에게 클라우드 방식(SaaS)으로 'e나무' 설루션을 제공해왔다.
2024년 9월 이 설루션의 장바구니 관련 웹페이지에서 SQL(구조적 질의 언어) 인젝션 공격으로 17개 이용 사업자 홈페이지에서 122건의 주문자 개인정보가 유출되는 사고가 났다.
문제가 발생한 'e나무'의 설루션은 서비스를 개시한 지 10여년이 지난 구형 설루션으로 기술지원 및 보안관리가 제대로 이뤄지지 않았던 것으로 조사됐다.
대부분 이용사업자가 차세대 설루션으로 이전했으나, 소수의 영세 이용사업자가 홈페이지 이전·재구축을 하지 못하고 기존의 'e나무' 설루션을 계속 이용하다가 개인정보 유출 사고가 발생했다.
NHN커머스는 유출 사고 이후 개인정보위에 72시간 내 유출신고를 완료했으나, 정작 피해를 본 이용 사업자들에게 제때 유출 통지를 하지 않았다.
개인정보위는 정보주체에 대한 유출통지를 72시간 내 하지 않은 점을 근거로 이 업체에 과태료 450만원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 했다.
eddie@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
