고객정보 유출 해피포인트 운영사에 과징금 14억7천만원 > IT/과학기사 | it/science

부실한 개인정보 관리로 ‘해피포인트’ 멤버십 고객 1만7천여명의 이름과 아이디ID 등을 해킹당한 에스피씨SPC 계열사 ㈜섹타나인에 약 15억원의 과징금이 부과됐다.

개인정보보호위원회개보위는 13일 개인정보보호법을 위반한 해피포인트 멤버십 서비스 운영사 ㈜섹타나인에 대해 과징금 14억7700만원, 과태료 720만원을 부과하고 공표 명령하기로 전날 전체회의에서 의결했다고 밝혔다.

㈜섹타나인은 2022년 10월과 2023년 11월 두차례에 걸쳐 사전에 수집한 계정과 비밀번호 등의 정보를 무작위로 대입해 로그인한 뒤 개인정보를 훔치는 ‘크리덴셜 스터핑’ 방식으로 해킹 공격을 받았다. 그 결과 모두 1만7347명1차 7585명, 2차 9762명 고객의 이름·성별·아이디·생년·해피포인트 카드번호 등의 개인정보가 유출됐다. 1차 사고로 개인정보가 유출된 일부 고객의 경우 적립한 해피포인트가 무단으로 사용되는 추가 피해도 입었다.

개보위 조사 결과, 이 회사는 짧은 시간 동안 동일 아이피IP 주소에서 대규모 로그인 시도가 발생하는 상황을 탐지·차단할 수 있는 대책을 마련하지 않았던 것으로 확인됐다. 또 응용프로그램 인터페이스API 응답값에 포함된 개인정보를 보호하기 위한 암호화 조처도 소홀히 하는 등 1차 사고 이후 재발방지 대책을 충분히 마련하지 않아 같은 방식의 해킹에 의해 2차 사고가 발생했다는 게 개보위 쪽 설명이다.

아울러 ㈜섹타나인은 1차 사고 당시 이를 72시간 안에 이용자에게 통지, 관련 기관에 신고했지만 2차 사고 땐 개인정보 유출 사실을 인지하고도 늑장 통지·신고한 점도 이번 조사에서 확인됐다.

개보위는 “개인정보를 처리하는 사업자는 운영 중인 시스템에 대한 안전조처를 철저히 하고, 사고가 이미 발생한 경우 재발방지 대책을 면밀히 수립해 유출 사고가 재발하지 않도록 각별한 노력을 기울여야 한다”고 당부했다.

선담은 기자 sun@hani.co.kr

<한겨레 인기기사> ■

[단독] 국정원장, 계엄날 윤석열에 ‘부재중 아님’ 직접 알렸다…“내일 출장”

대면조사 안 한 장학사, 아파트 뒤진 경찰…하늘이 ‘골든타임’ 놓쳤나

[속보] ‘50억 클럽’ 의혹 박영수, 1심서 징역 7년 법정구속

[속보] 통일부 “북한, 금강산 이산가족면회소 철거 중”

명태균 쪽 “‘윤상현이한테 전화했습니다’ 김건희 육성 녹음 있다”

[속보] 헌재 “문형배 대행 동창카페 해킹 철저히 수사해달라”

‘대통령 전두환’ 슬쩍 가려놓더니…예술의전당 휘호석 뒤늦게 철거

트럼프 “종전 협상 즉시 시작 합의”…푸틴·젤렌스키와 통화

이재명·김경수 오늘 회동…“헌정수호 세력 연대 논의할 것”

하늘이 아빠 “장원영씨 조문 강요 아닌 부탁, 오해 말아달라”

한겨레>

▶▶한겨레는 함께 민주주의를 지키겠습니다 [한겨레후원]

▶▶실시간 뉴스, ‘한겨레 텔레그램 뉴스봇’과 함께!

▶▶한겨레 뉴스레터 모아보기