[시민일보 = 문민호 기자] 개인정보보호위원회는 고객의 개인정보 보호를 위한 안전조치 의무를 소홀히 해 개인정보를 유출한 클래스유와 케이티알파에 대해 총 5851만원의 과징금과 1410만원의 과태료를 부과했다고 10일 밝혔다.

위원회에 따르면 신원 미상의 해커는 2023년 8월 1일부터 2024년 7월 25일까지 온라인 강의 서비스를 운영하는 클래스유의 데이터베이스(DB) 관리자 계정을 통해 이용자 약 160만 명의 개인정보를 유출했다.

조사결과 클래스유는 개인정보처리시스템에 접근할 수 있는 권한을 아이피(IP) 주소 등으로 제한하지 않았으며, 다수의 개인정보 취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하는 등 안전조치 의무를 소홀히 했다.

또한 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관했으며, 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다.

아울러 개인정보 유출 사실을 알게 된 후 정당한 사유 없이 72시간이나 지나 신고했다.

이에 위원회는 클래스유에 대해 과징금 5360만원과 과태료 720만원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.

이어 위원회는 해커가 2023년부터 약 1년간 기프티쇼(모바일 상품권 판매) 웹사이트 로그인 페이지에 '크리덴셜 스터핑' 공격을 시도해 회원 개인정보가 유출된 케이티알파에 대해서도 과징금 491만원과 과태료 690만원을 부과했다.

크리덴셜 스터핑 공격은 사전에 확보한 다수의 아이디와 비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식이다. 공격받을 경우 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.

조사결과 해커는 기프티쇼 웹사이트에 IP 주소를 사용해 540만 번 이상 로그인을 시도했고, 약 9만8000명의 회원 계정으로 로그인에 성공했다.

이 중 51명의 계정으로 개인정보가 포함된 웹페이지에도 접근해 회원 개인정보를 열람하고, 포인트를 무단 사용하는 등 2차 피해도 줬다.

위원회에 따르면 케이티알파는 특정 아이피(IP) 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했다.

다만, 해커가 약 9만 8000명의 회원 계정으로 로그인에는 성공했으나, 케이티알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 취해 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다.

위원회는 크리덴셜 스터핑 공격을 예방하기 위해 이상 행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다고 말했다.