해킹 공격에 대한 대응 소홀로 고객 5만여명의 개인정보를 유출한 티머니가 5억원대의 과징금 처분을 받게 됐다. 평소보다 60배 넘게 폭증한 접속 트래픽을 방치해 2차 금전 피해까지 발생시킨 책임이다.
뉴시스 보도에 따르면, 개인정보보호위원회는 전날 개최한 전체회의에서 티머니에 대해 과징금 5억3400만원을 부과하고 시정명령 및 공표 명령을 의결했다고 29일 밝혔다.
이번 처분은 지난해 3월 발생한 '크리덴셜 스터핑(Credential Stuffing)' 공격에 의한 개인정보 유출 사고에 따른 것이다. '크리덴셜 스터핑'은 유출된 아이디와 비밀번호를 다른 웹사이트에도 무차별 대입해 로그인을 시도하는 해킹 수법이다.
개인정보위 조사 결과, 해커는 지난해 3월 13~25일 국내외 9647개 IP 주소를 동원해 '티머니 카드&페이' 웹사이트에 1226만 번 이상의 로그인을 시도했다. 당시 공격 규모는 1초당 최대 131회, 1분당 최대 5265회에 달했다. 이는 평상시 대비 68배나 폭증한 수치다.
티머니 측은 이처럼 대량의 반복적인 로그인 시도와 비정상적인 트래픽이 발생했음에도 이를 적시에 탐지하거나 차단하지 못했다. 그 결과 해커는 5만1691명의 회원 계정으로 로그인에 성공하여 이름, 이메일, 휴대전화 번호, 주소 등의 개인정보를 탈취했다.
개인정보위는 최근 '크리덴셜 스터핑' 해킹 공격이 빈번하게 발생하고 있는 점을 지적했다. 각 사업자에게 보안 체계 전반에 대한 긴급 점검과 강화를 요구했다.
또한 개인정보가 노출될 수 있는 화면에서는 정보를 비식별화해 표시하고, 개인정보가 포함된 페이지에 접근할 경우에는 추가 인증 절차를 적용할 것을 권고했다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
