⁠⁠⁠⁠⁠⁠⁠

고학수 개인정보보호위원장이 9일 서울 종로구 정부서울청사에서 개인정보보호위원회 2025년 8회 전체회의를 주재하고 있다./사진제공=개인정보보호위원회

개인정보 유출사고로 부실한 관리실태가 적발된 KT알파(케이티알파)·클래스유가 나란히 과징금을 부과받았다.

개인정보위는 지난 9일 전체회의에서 KT알파에게 △과징금 491만원 △과태료 690만원 △결과공표 처분을 부과하기로 의결했다고 10일 밝혔다.

KT알파가 운영 중인 모바일상품권 판매 웹사이트 '기프티쇼'에선 2023년 1월28일부터 2월6일까지 해커가 회원 9만8000여명의 계정에 로그인하는 침입사고가 발생했다. 일부 회원은 포인트가 무단 사용되는 2차 피해를 입었다.

해커는 다크웹 등지에서 입수한 아이디·비밀번호를 기프티쇼 로그인창에 무더기로 입력하는 '크리덴셜 스터핑' 기법으로 4305개 IP(인터넷)주소를 동원해 540만차례 이상 로그인을 시도했다.

공격 여파로 기프티쇼에선 일 평균 로그인 시도가 평시보다 550배 많아졌다. 1분당 1140차례 로그인을 시도한 IP주소도 있었다. 개인정보위는 KT알파가 법령상 규정된 비정상 접속시도를 탐지·차단할 의무를 소홀히 했고, 24시간 안에 유출을 통지할 의무도 준수하지 않았다고 지적했다.

다만 KT알파는 실제 개인정보 유출규모가 51명에 그쳐 고액 과징금을 면했다. KT알파는 기프티쇼 웹페이지에서 개인정보를 마스킹(가림) 처리한 것으로 나타났다.

개인정보위는 온라인 강의 서비스를 운영하는 클래스유에 대해선 △과징금 5360만원 △과태료 720만원 △시정·공표명령을 부과하기로 의결했다.

클래스유에선 2023년 8월1일부터 지난해 7월25일까지 해커가 데이터베이스(DB)에 침입해 이용자 160만여명의 개인정보를 유출하는 사고가 발생했다.

해커는 미리 알아낸 관리자 계정으로 클래스유 DB에 접속했다. 개인정보위는 클래스유 직원이 DB 접속정보가 담긴 파일을 개발자 플랫폼에 공개한 데서 사고가 비롯된 것으로 추정했다.

개인정보위는 클래스유가 DB에 접속 가능한 IP주소를 제한하지 않고, 여러 임직원이 관리자 계정 1개를 공유한 사실을 적발했다. 암호화 없이 저장한 이용자의 주민등록번호·계좌번호, 파기하지 않은 이용자의 신분증 사본도 발견했다.

다만 개인정보위는 클래스유의 재무상황 등 현실적인 부담능력을 고려, 과징금 감경규정을 적용했다고 설명했다. 클래스유는 2023년 매출 286억원에 영업손실 1억3000만원을 기록했다.

개인정보위는 "개인정보처리자는 처리 중인 개인정보가 유출되지 않도록 개인정보처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적"이라고 밝혔다.

이어 "크리덴셜 스터핑을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 등을 적용하는 것도 개인정보 유출피해를 줄이는 데에 큰 도움이 될 수 있다"고 덧붙였다.

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지