KT알파의 모바일 상품권 판매 ‘기프티쇼’와 온라인 강의 플랫폼 ‘클래스유’가 회원의 개인정보를 유출해 과징금 및 과태료 등을 부과 받았다.
개인정보보호위원회는 9일 서울 종로구 정부서울청사에서 제8회 전체회의를 열고 개인정보 보호 법규를 위반한 KT알파와 클래스유에 대해 총 5851만원의 과징금 및 1410만원의 과태료를 부과하고 공표 및 공표명령을 의결했다.
KT알파가 운영 중인 기프티쇼(모바일 상품권 판매)를 대상으로 해커는 지난 2023년 1월 28일부터 2월 6일까지 웹사이트 로그인 페이지에 ‘크리덴셜 스터핑’ 공격을 시도했다. 해당 공격 방식은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 로그인을 시도한다.
해커는 기프티쇼 웹사이트에 4305개의 아이피(IP) 주소를 사용해 총 540만번 이상 대규모로 로그인을 시도했고 약 9만8000명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람했고, 포인트를 무단 사용하는 등 2차 피해도 있었다.
이는 KT알파가 비정상적인 접속 시도가 발생할 경우, 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 해 피해가 생겼다. 다만 KT알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 진행해 피해규모가 적은 것으로 확인됐다.
개인정보위는 조사 과정에서 KT알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실을 확인했다. 이에 KT알파에 과징금 491만원과 과태료 690만원을 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표한다.
클래스유는 취미‧기술 등 다양한 분야의 온라인 강의 서비스를 운영 중이다. 해커는 알수 없는 방법으로 획득한 데이터베이스(DB) 관리자 계정을 통해 지난 2023년 8월 1일부터 지난해 7월 25일까지 이용자 약 160만명의 개인정보를 유출했다.
개인정보위는 관리자 계정 탈취 경로가 확인되지 않았으나 클래스유의 개인정보취급자가 DB 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영했던 사실을 확인해 해당 경로로 유출된 것으로 추정한다.
또 클래스유는 DB에 접근권한을 IP 주소 등 제한하지 않았고, 다수의 개인정보취급자가 하나의 관리자 게정을 공유했다. 이용자의 주민등록번호 및 계좌번호를 암호화지 않고 저장한 사실도 확인됐다.
특히 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 통지했다. 다만 클래스유의 재무상황 등 현실적인 부담 능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다.
이에 개인정보위는 클래스유에 과징금 5360만원과 과태료 720만원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 이어 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령했으며 이행 결과를 면밀히 점검할 방침이다.
