【 청년일보 】 개인정보보호위원회(개인정보위)가 반복적인 해킹 공격에 대한 대응을 소홀히 해 대규모 개인정보 유출 사고를 일으킨 티머니에 과징금 5억3천400만원을 부과했다. 아울러 재발방지 대책 수립·시행과 함께 관련 사실을 홈페이지에 공표하도록 시정명령을 내렸다.

개인정보위는 지난 28일 제2회 전체회의를 열고, '개인정보 보호법'상 안전조치 의무를 위반한 티머니에 대해 이 같은 처분을 의결했다고 29일 밝혔다. 이번 조치는 지난해 4월 11일 접수된 개인정보 유출 신고를 바탕으로 진행된 조사 결과에 따른 것이다.

조사 결과, 티머니가 운영하는 '티머니 카드&페이' 웹사이트는 지난해 3월 13일부터 25일까지 신원 미상의 해커로부터 크리덴셜 스터핑(Credential Stuffing) 공격을 받았다. 해커는 국내외 9천647개 IP 주소를 활용해 총 1천226만회 이상 로그인을 시도했으며, 이 과정에서 5만1천691명의 회원 계정에 로그인해 이름, 이메일 주소, 휴대전화 번호, 주소 등 개인정보를 유출한 것으로 확인됐다.

공격 기간 동안 일평균 로그인 시도 건수는 평상시 대비 68배에 달했으며, 초당 최대 131회, 분당 최대 5천265회에 이르는 비정상적인 접속이 발생했다. 그럼에도 티머니는 침입 탐지·차단이나 이상행위 대응 조치를 적절히 수행하지 않은 것으로 조사됐다.

또한 해커는 로그인에 성공한 계정 중 4천131명의 계정에서 'T마일리지' 약 1천400만원 상당을 선물하기 기능으로 탈취해 2차 피해도 발생한 것으로 나타났다.

개인정보위는 티머니가 대량·반복 로그인 시도라는 명백한 이상 징후에도 불구하고 보안 대응을 소홀히 한 점을 중대 위반으로 판단했다. 이에 과징금 부과와 함께 재발방지를 위한 구체적인 보안 대책 마련 및 이행을 명령했다.

개인정보위는 최근 크리덴셜 스터핑 공격이 빈번하게 발생하고 있다며, 사업자들에게 비정상 접속에 대한 탐지·차단 체계 강화, 개인정보 노출 페이지의 비식별화, 개인정보 접근 시 추가 인증 도입 등 보안 조치를 점검·강화할 것을 당부했다.
 

【 청년일보=조성현 기자 】