개인정보위, ‘개인정보 유출’ 클래스유·케이티알파에 과징금

[아이티데일리] 개인정보보호위원회(위원장 고학수)는 지난 9일 제8회 전체 회의를 열고 개인정보 보호 법규를 위반한 클래스유, 케이티알파에 총 5,851만 원의 과징금 및 1,410만 원의 과태료를 부과했다고 밝혔다.

먼저 클래스유는 2023년 8월 1일부터 2024년 7월 25일까지 회사 데이터베이스(DB)에 접속한 해커로 인해 이용자 약 160만 명의 개인정보를 유출했다.

해커가 DB 관리자 계정을 탈취한 경로는 확인되지 않았다. 다만 개인정보위 측은 클래스유의 개인정보취급자가 DB 접속 정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영한 사실을 확인했으며 이를 통해 유출된 것으로 추정했다.

개인정보위 조사 결과, 클래스유가 다수의 안전조치 의무를 위반한 사실이 밝혀졌다. DB에 접근할 수 있는 권한을 IP 주소 등으로 제한하지 않았으며, 여러 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다. 또 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 드러났다.

아울러 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 통지한 점도 확인됐다.

케이티알파는 2023년 1월 28일부터 그해 2월 6일까지 운영 중인 모바일 상품권 판매 웹사이트(기프티쇼)의 로그인 페이지에 해커가 ‘크리덴셜 스터핑(Credetial Stuffing)’ 공격을 시도해 회원 개인정보를 유출 당했다. 크리덴셜 스터핑은 사전 확보한 아이디, 비밀번호 정보를 무차별 대입해 접속을 시도하는 공격 방식이다.

개인정보위에 따르면, 해당 기간 해커는 기프티쇼 웹사이트에 IP 주소 4,305개를 사용, 총 540만 번 이상 대규모로 로그인을 시도했다. 이를 통해 약 9만 8천 명의 회원 계정으로 접속에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 정보를 열람함과 동시에 포인트를 무단 사용하는 등 2차 피해를 일으켰다.

이는 케이피알파가 특정 IP 주소에서 비정상적인 접속 시도가 발생할 경우, 이를 탐지·차단하기 위한 침입 탐지 정책 관리와 이상행위 대응 체계 운영을 소홀히 한 영향으로 밝혀졌다. 다만 해커가 로그인에는 성공했음에도 케이티알파가 웹페이지 내 개인정보 마스킹 조치 등을 이행해 실제 유출된 규모는 51명에 그쳤다.

조사 과정에서 케이티알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 지나 유출 통지한 사실도 확인됐다.

개인정보위는 클래스유에 과징금 5,360만 원과 과태료 720만 원, 케이티알파에 과징금 491만 원과 과태료 690만 원을 각각 부과했다. 또 처분 사실을 개인정보위 홈페이지에 공표하기로 명령했다.

개인정보위는 “개인정보처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적”이라며 “개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 유출 피해를 줄이는 데 큰 도움이 될 수 있다”고 당부했다.