[프라임경제] 개인정보보호위원회(이하 개인정보위)는 개인정보 보호를 위한 안전조치 의무를 소홀히 한 티머니에 대해 과징금 5억3400만원을 부과하고, 티머니 홈페이지에 과징금 부과 사실을 공표하도록 명령했다고 29일 밝혔다.

개인정보위는 작년 4월11일 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 것으로 확인했다.

티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자로, '티머니 카드&페이' 웹사이트에 신원 미상의 해커가 지난해 3월 13일부터 25일까지 '크리덴셜 스터핑' 공격 방법으로 침입해 5만1691명의 개인정보를 유출했다.

크리덴셜 스터핑 해킹은 공격자가 모종의 방법을 통해 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서 로그인에 성공할 때까지 무차별적으로 시도하는 해킹 공격이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.

해커는 '티머니 카드&페이’ 웹사이트에 국내·외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만번 이상 대규모로 로그인을 시도했다. 

이 중 5만1691명의 회원 계정으로 로그인에 성공하여 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.

이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 'T마일리지' 약 1400만원을 선물하기 기능으로 탈취해 추가적인 피해가 발생했다.

이는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했음에도, 이에 대한 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다.

이에 따라 개인정보위는 티머니에 5억3400만원의 과징금을 부과하고, 사업자 누리집(홈페이지)에 사실을 공표하도록 명령했다. 또 구체적인 재발방지 대책을 수립·시행하도록 시정조치 명령했다.

개인정보위는 쇼핑몰 내 구형 설루션에 대한 기술지원 등을 소홀히 해 해킹으로 쇼핑몰 이용 사업자 홈페이지에서 주문자들의 개인정보 유출을 초래한 NHN커머스에도 과징금 870만원을 부과했다.

이 업체는 쇼핑몰 구축을 원하는 이용 사업자들에게 클라우드 방식(SaaS)으로 'e나무' 솔루션을 제공해왔다.

2024년 9월 이 솔루션의 장바구니 관련 웹페이지에서 SQL(구조적 질의 언어) 인젝션 공격으로 17개 이용 사업자 홈페이지에서 122건의 주문자 개인정보가 유출됐다.

문제가 발생한 'e나무'의 솔루션은 서비스를 개시한 지 10여년이 지난 구형 솔루션으로 기술지원, 보안관리가 제대로 이뤄지지 않았던 것으로 조사됐다.

대부분 이용사업자가 차세대 솔루션으로 이전했으나, 소수의 영세 이용사업자가 홈페이지 이전·재구축을 하지 못하고 기존의 'e나무' 설루션을 계속 이용하다가 개인정보 유출 사고가 발생했다.

NHN커머스는 유출 사고 이후 개인정보위에 72시간 내 유출신고를 완료했으나, 정작 피해를 본 이용 사업자들에게 제때 유출 통지를 하지 않았다.

개인정보위는 정보주체에 대한 유출통지를 72시간 내 하지 않은 점을 근거로 이 업체에 과태료 450만원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 했다.