안전 조치 미흡으로 75만명의 개인정보가 유출된 동행복권이 과징금 5억여원을 물게 됐다. 또 12만5000여명의 개인정보가 유출된 SK스토아에는 과징금 14억여원이 부과됐다.
개인정보보호위원회는 개인정보보호법을 위반한 동행복권과 SK스토아에 대한 과징금과 시정명령 처분을 전날 전체회의에서 의결했다고 23일 밝혔다.
개인정보위에 따르면, 2023년 11월 해커는 복권통합포털인 동행복권 웹사이트의 회원 아이디(ID) 목록을 미리 확보한 뒤 보안 취약점을 노려 로그인에 성공했다. 이를 통해 약 75만명의 개인정보가 외부로 흘러 나갔다.
개인정보위는 동행복권이 ‘비밀번호 변경 기능’을 설계할 때 인증 보안 취약점에 대해 점검과 개선 조치를 소홀히 했고, 해커의 공격을 감지·차단하는 안전 조치가 부족했다고 설명했다.
이에 따라 개인정보위는 동행복권에 과징금 5억300만원과 과태료 480만원을 부과하고, 동행복권 사이트에 이 사실을 공표하도록 명령했다.
SK스토아의 경우 2023년 11월 자사 사이트가 해커의 ‘크리덴셜 스터핑’ 공격을 받아 12만5000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다.
당시 해커는 SK스토아 웹사이트를 대상으로 국내외의 14개 아이피(IP) 주소를 통해 1초에 최대 372회꼴로 총 4400만회 이상의 로그인을 시도했다. 그 결과 12만5000여개의 회원 계정 로그인에 성공해 개인정보가 포함된 웹페이지에 접근했다.
개인정보위는 SK스토아가 비정상적인 접속 시도를 방지하기 위한 침입 탐지나 차단 대책 마련 등 안전조치 의무를 소홀히 했다고 지적했다.
아울러 SK스토아 일부 웹페이지에서 이용자의 비밀번호가 암호화되지 않은 평문 상태로 송·수신된 사실도 추가로 확인됐다.
이에 개인정보위는 SK스토아에 과징금 14억3200만원과 과태료 300만원을 부과하고, 홈페이지에 이 사실을 공표하도록 명령했다.
이정은 개인정보위 조사2과장은 브리핑에서 “대규모 로그인이 시도된 국가는 중국과 미국이었고, 해커의 신상에 대해서는 특정할 수 없었다”고 말했다.
댓글0