개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것으로 확인된 SK스토아와 동행복권이 개인정보보호위원회로부터 총 19억4280만원에 이르는 과징금·과태료 철퇴를 맞았다.
개인정보위는 22일 제2회 전체회의를 열고 SK스토아에 총 14억3200만원의 과징금과 300만원의 과태료를 부과했고 동행복권에는 총 5억300만원의 과징금과 480만원의 과태료를 부과했다.
SK스토아는 온라인 쇼핑몰 및 TV홈쇼핑을 운영하는 사업자로 온라인 쇼핑몰인 ‘SK스토아’ 웹사이트에 신원 미상의 해커가 2023년 11월 14일부터 11월 21일 동안 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격 방법으로 침입해 12만5000여 명의 개인정보가 유출됐다.
크리덴셜 스터핑이란 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격을 뜻한다.
개인정보위 조사 결과 해당 해커는 SK스토아 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만번 이상 대규모로 로그인을 시도했고 이 중 12만5000여 개의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.
이는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응 등 안전조치의무를 소홀히 하였기 때문인 것으로 밝혀졌다.
또 조사 과정에서 SK스토아 일부 웹페이지에서는 이용자의 비밀번호가 암호화 조치 되지 않은 평문 상태로 송·수신된 사실도 추가 확인됐다.
유출사고 발생 이후 SK스토아는 비정상적인 로그인 시도에 대한 보안정책을 적용·강화하는 등 위반사항을 시정하는 한편 향후 유사 피해가 재발하지 않도록 유출된 이용자 대상 계정 초기화, 기존의 로그인 방식 변경 등 조치를 취했다.
동행복권은 기획재정부 복권위원회로부터 복권 발행·관리 및 판매 등의 업무를 위탁받아 처리하는 사업자다. 개인정보위 조사 결과 2023년 11월 4일부터 5일까지 신원 미상의 해커가 복권 통합포털인 ‘동행복권’ 웹사이트의 회원 아이디(ID) 목록을 사전에 확보하고 회원 비밀번호 변경 기능에 존재하는 보안 취약점을 악용해 다른 계정의 비밀번호를 임의 변경한 후 로그인에 성공했다. 이로써 약 75만명의 개인정보가 유출됐다.
이는 동행복권이 ‘비밀번호 변경 기능’ 설계·구현 시 이용자 인증 관련 보안 취약점에 대해 점검·개선 조치를 소홀히 했으며 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치가 미흡했기 때문으로 밝혀졌다.
유출사고 발생을 인지한 즉시 동행복권은 누리집을 임시 폐쇄하고 계정 비밀번호 초기화 및 취약한 소스코드 수정 등 위반사항을 시정하는 한편 향후 유사 피해가 재발하지 않도록 비정상적인 접속시도에 대한 탐지·차단을 강화하는 등의 조치를 취했다.
개인정보위는 최근 크리덴셜 스터핑 등 해킹공격이 빈번하게 발생하는 만큼 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고 이용자 인증 관련 취약점 점검 등에도 각별한 주의를 기울일 것을 당부했다.
김광연 기자
fun3503@chosunbiz.com
댓글0