SK스토아와 동행복권이 신원미상의 해커에게 공격을 받아 각각 12만명, 75만명의 개인정보가 유출됐다. 이에 개인정보보호위원회(이하 개인정보위)는 두 기업이 의무를 소홀히 한 것으로 확인하고 과징금‧과태료를 부과하고 공표 명령을 내렸다.
개인정보위는 23일 제2회 전체회의 결과 브리핑을 통해 ‘개인정보 보호법’을 위반한 동행복권과 SK스토아에 대해 과징금 및 과태료를 부과하고 공표 명령을 의결했다고 밝혔다.
개인정보위에 따르면 2023년 11월 4일부터 11월 5일까지 해커가 복권 통합포털인 동행복권 웹사이트의 회원 아이디를 미리 확보한 후 보안 취약점을 노려 로그인에 성공했다. 약 75만명의 개인정보가 유출됐다.
동행복권은 ‘비밀번호 변경 기능’ 설계‧구현 시 이용자 인증 관련 보안 취약점에 대해 점검‧개선 조치가 소홀했다. 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치가 미흡했기에 개인정보가 유출된 것으로 확인됐다. 이에 개인정보위는 동행복권에 5억300만원의 과징금과 480만원의 과태료를 부과하고 사업자 누리집에 공표하도록 명령했다.
온라인 쇼핑몰인 SK스토아의 경우 지난 2023년 11월 14일부터 11월 21일까지 ‘크리덴셜 스터핑’ 공격 방법으로 해커가 침입해 12만5000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정‧비밀번호 정보를 취득한 후 다른 사이트에서도 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격이다.
개인정보위 조사 결과에 따르면 해커는 SK스토아 웹사이트에 국내외 14개 IP 주소를 통해 1초당 최대 372회, 총 4400만 번 이상 대규모로 로그인을 시도했다. 이 중 12만5000여개의 회원 계정으로 로그인에 성공, 개인정보가 유출됐다.
SK스토아는 비정상적인 접속 시도를 방지하기 위한 안전조치의무를 소홀히 했고, 일부 웹페이지는 이용자의 비밀번호가 암호화 조치 되지 않은 평문 상태로 송‧수신됐다. 이에 개인정보위는 총 14억3200만원의 과징금과 300만원의 과태료를 부과했다. 또 사업자 누리집(홈페이지)에 그 사실을 공표하도록 명령했다.
이정은 개인정보위 조사2과장은 “최근 해킹공격이 빈번하게 발생하는 만큼 이상행위에 대한 침입 탐지‧차단 조치 등 보안대책을 강화해야 한다”며 “이용자 인증 관련 취약점 점검 등 각별한 주의를 기울여야 할 것”이라며 당부했다.
