(서울=뉴스1) 이기림 기자 = 개인정보 보호법을 위반한 섹타나인이 14억 7700만 원의 과징금과 720만 원의 과태료를 부과받았다. 섹타나인은 파리바게뜨, 배스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하는 업체다.
개인정보보호위원회는 지난 12일 제3회 전체회의를 열고 섹타나인에 이같은 과징금과 과태료를 부과하기로 의결했다고 13일 밝혔다. 사업자 홈페이지에는 이런 처분을 받은 사실을 공표하도록 하는 명령도 했다.
개인정보위는 개인정보 유출사고가 발생한 섹타나인을 조사해 개인정보 보호법에 따른 안전조치의무를 소홀히 하고 유출 통지·신고를 지연한 사실을 확인했다.
앞서 신원 미상의 해커는 2022년 10월 5~11일 섹타나인이 운영 중인 해피포인트 앱에 '크리덴셜 스터핑' 공격을 시도해 로그인에 성공했다.
해커는 서버에서 로그인 성공 시 응답값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다.
이 중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했으며, 2023년 10월 30일~11월 3일에도 동일 방식의 해킹 공격으로 9762명의 개인정보가 추가 유출됐다.
개인정보위는 섹타나인이 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, API 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치에 소홀했다고 밝혔다.
또한 최초 유출 사고 이후에도 재발방지 대책을 충분히 마련하지 않아 동일한 방식으로 유출 사고가 또다시 발생한 점도 문제라고 지적했다.
섹타나인은 첫 유출 사고 때에는 유출 통지·신고를 제때 했으나, 두 번째 사고에서는 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 지나 유출 통지·신고한 것으로 확인됐다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지