[파이낸셜뉴스] 개인정보보호위원회는 지난 28일 전체회의를 열고, '개인정보 보호법'을 위반한 티머니에 총 5억 3400만원의 과징금을 부과하고 시정명령을 내리기로 의결했다고 29일 밝혔다.
개인정보위는 지난해 4월 11일 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 보호법에 다른 안전조치 의무를 소홀히 한 것으로 확인됐다고 설명했다.
개인정보위에 따르면 지난해 3월 13일부터 25일까지 '티머니 카드&페이’ 웹사이트에 해커가 침입, 5만1691명의 개인정보를 유출했다. 해커의 공격 방법인 크리덴셜 스터핑은 공격자가 특정 사이트에서 다수의 계정·비밀번호 정보를 취득한 후 자동화 프로그램을 이용해 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.
이 기간 해커는 ‘티머니 카드&페이’ 웹사이트에 국내·외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만 번 이상 대규모로 로그인을 시도했다. 이 중 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다. 이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 ‘T마일리지’ 약 1400만원을 선물하기 기능으로 탈취해 추가적인 피해도 발생했다.
개인정보위는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했음에도, 이에 대한 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다고 판단했다.
개인정보위는 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부했다.
개인정보위 관계자는 "개인정보 노출 페이지 내 개인정보 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 적용 등의 조치가 추가적인 사고 예방에 도움이 될 수 있다"고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지