개인정보보호위원회는 서울 종로구 정부서울청사에서 ‘2025년 제3회 개인정보보호위원회 전체회의’를 열고 섹타나인의 개인정보 유출사고에 대해 과징금‧과태료 및 공표 명령 등을 의결했다.
개인정보위는 개인정보 보호 법규를 위반한 섹타나인에 대해 14억7700만원의 과징금과 720만원의 과태료를 부과하고 공표 명령하기로 의결했다. 개인정보위는 개인정보 유출 신고에 조사를 실시했고 섹타나인이 ‘개인정보 보호법’에 따른 안전조치의무를 소홀히 하고 유출 통지‧신고를 지연한 사실도 나왔다.
신원 미상의 해커가 지난 2022년 10월 5일부터 10월 11일까지 섹타나인이 운영중인 해피포인트 앱에 ‘크리덴셜 스터핑’ 공격을 시도해 로그인에 성공했다. 해커는 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했고 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했다. 또 2023년 10월 30일부터 11월 3일까지 동일한 방식의 해킹 공격이 발생해 9762명의 개인정보가 추가 유출됐다.
크리덴셜 스터핑은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다. 또 섹타나인은 2023년 발생한 사고에 대해 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 경과해 유출 통지‧신고했다.
브라우저 사업자와 자동 로그인 서비스 개선
개인정보위는 구글‧마이크로소프트‧모질라 등 주요 인터넷 브라우저 제공사업자와 함께 ‘자동 로그인’ 서비스를 개선한다. 자동 로그인 서비스는 웹사이트에 한 번 로그인하면 이후에는 자동으로 아이디와 비밀번호가 입력돼 별도 로그인 없이 웹사이트 이용할 수 있다.
다만 이용자 개인정보 탈취 우려도 있어 개인정보위는 지난해 5월부터 한국인터넷진흥원과 주요 인터넷 브라우저의 안전조치 현황을 점검했다. 모든 브라우저가 PC 등에 계정정보를 암호화해 저장하지만 암호화 조치가 해제될 문제점이 있는 것으로 확인됐다. 악성코드 등으로 PC가 해킹되면 저장된 계정정보 탈취로 이어질 수 있다.
또 여러 기기에서 자동 로그인 기능을 사용할 수 있도록 지원하고 있다. 다수의 이용자가 일회용 비밀번호(OTP) 등 추가 인증수단을 설정하지 않고 아이디와 비밀번호만으로 브라우저에 로그인하고 있다. 개인정보위는 추가 인증수단을 설정한 이용자는 10% 미만으로 추정했다.
향후 자동로그인 개선에 따라 기존 계정정보 암호화 방식에 추가정보를 연결해서 강화된 암호방식을 적용하고, 암호화된 계정정보와 암호화 키는 분리해 저장한다.
개인정보위는 “개인정보 유출로 인한 피해 예방을 위해 이용자도 계정 보안기능을 활용할 필요가 있다”며 “로그인 시 OTP 등 추가인증 수단을 적극 활용해달라”고 당부했다.
개인정보위, 소셜로그인 실태점검 결과 발표
이날 개인정보위는 전체회의에서 소셜로그인 서비스를 제공하는 네이버, 카카오, Google LLC(구글), Meta Platforms, Inc.(메타), Apple Distribution International Limited(애플) 등 국내외 5개 사업자에 대한 사전 실태점검 결과를 발표했다.
개인정보위는 웹사이트별 회원가입 절차가 대부분 소셜로그인 방식으로 대체됨에 따라 발생하는 보안 문제 및 개인정보 제공·파기 우려로 지난해 4월부터 11월까지 실태점검을 실시했다. 소셜로그인을 위해 소셜계정이 이용사이트에 이용자 개인정보를 제공하는 과정에서 특별한 문제점은 없었다.
반면 소셜계정을 탈퇴한 이용자의 개인정보 파기가 적정하게 이뤄지지 않아 개인정보위는 소셜로그인 사업자에 개선권고를 의결했다.
모든 소셜로그인 사업자는 이용자가 소셜계정 설정화면에서 가입 중인 이용사이트 목록을 조회하고 탈퇴를 원하는 사이트에 대해 ‘연동해지’하는 기능을 제공한다. 카카오, 구글, 애플, 메타의 경우 실제 이용률이 낮게 나타나고 있어 대안 강구를 요구했다.
또 이용자가 이용사이트에서 탈퇴하는 경우 소셜로그인 접근 토큰을 삭제하도록 토큰폐기 기능을 제공하면서 개발자 문서 등을 통해 공개하고 있다. 그러나 개발자 문서에 포함된 정보가 방대하고 토큰폐기 기능을 찾기 어렵다. 이에 소셜로그인 사업자들에게 이용사이트 측이 토큰폐기 기능을 쉽게 확인할 수 있도록 안내 방안을 확충할 것을 개선권고했다.
메타의 경우 이용자가 소설계정 자체를 탈퇴할 시 연동된 모든 이용사이트에 이 사실을 통보하고 일괄 탈퇴처리가 이루어질 수 있도록 기반을 마련해야 한다. 다른 사업자는 일괄통보 기능을 제공하고 있다.
개인정보위는 소셜로그인 사업자들과 개선권고 사항을 실효성 있게 이행할 방안을 협의할 계획이다.
