KT알파가 운영하는 모바일 선물 서비스 플랫폼 기프티쇼에서 2023년에 이어 개인정보 유출사고가 또 다시 발생했다. 개인정보보호법 상 3년 이내 1회 이상 과징금 부과처분을 받고 동일한 행위가 재발했을 경우 가중처벌이 가능하다.
26일 KT알파는 최근 기프티쇼에서 발생한 계정 도용 사고와 관련해 개인정보 유출 대상자에게 개별 통지(SMS 등)를 진행했다고 밝혔다. 유출 사고는 지난 12일부터 14일 사이에 일어났으며 유출 항목은 모바일상품권 수신 내역 등에 포함된 발송자의 성명, 휴대전화번호다.
해커가 외부에서 취득한 계정 정보(아이디‧비밀번호)를 이용해 부정 로그인을 시도 한 뒤 해당 계정의 과거 모바일상품권 수신 내역에 포함된 정보를 유출한 것으로 파악된다. 다만 시스템 해킹을 통한 데이터베이스(DB) 유출은 아니라는 회사 입장이다.
KT알파는 공지문을 통해 “현재까지 해당 정보로 인한 2차 피해 사례는 확인되지 않았으나 혹시 모를 스팸 문자, 보이스피싱, 확인되지 않은 번호의 전화에 각별히 유의하길 바란다”라며 “타 사이트와 중복되지 않는 비밀번호로 변경해 사용하기를 강력히 권고한다”라고 말했다.
KT알파는 고객센터 신고를 통해 14일 사고를 인지했으며 즉시 피해 계정에 대한 로그인 차단 및 비밀번호 초기화 조치를 완료했다. 이어 이상 거래 탐지 시스템(FDS) 강화 및 공격 IP의 접속을 차단했다. 15일에는 피해 금액을 전액 결제 취소했고, 한국인터넷진흥원(KISA)과 사이버경찰청, 개인정보보호위원회, 금융감독원 등 관계기관에 신고했다.
현재 관계 기관의 조사는 진행 중으로 피해 규모와 범행 방식 등은 구체적으로 알려지지 않았다.
기프티쇼의 개인정보 유출은 처음이 아니다. 해커는 지난 2023년 1월28일부터 2월6일까지 웹사이트 로그인 페이지에 ‘크리덴셜 스터핑’ 공격을 시도했다. 해당 공격 방식은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 로그인을 시도한다.
해커는 기프티쇼 웹사이트에 4305개의 아이피(IP) 주소를 사용해 총 540만번 이상 대규모로 로그인을 시도했고 약 9만8000명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람했고, 포인트를 무단 사용하는 등 2차 피해도 있었다.
개인정보위는 조사 과정에서 KT알파가 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실을 확인했다. 이에 지난 4월 KT알파에 과징금 491만원과 과태료 690만원을 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표했다.
당시 KT알파는 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 진행해 피해규모가 적은 것으로 확인됐다. 이에 과징금 수위는 높지 않았던 것으로 풀이된다.
다만 2023년 9월 개정된 개인정보보호법 위반에 대한 과징금 부과기준(제9조)에 따르면, 3년 이내 1회 이상 과징금 부과처분을 받고 동일한 행위가 재발 했을 경우 기준금액의 100분의 15에 해당하는 과징금을 가산하도록 규정하고 있다. 이에 따라 이번 개인정보 유출 사고가 해당 가중 처벌 규정의 첫 적용 사례가 될 가능성도 제기된다.
KT알파는 “당사는 이번 사고를 매우 엄중하게 인식하고 있으며 고객님의 소중한 정보를 안전하게 보호하기 위해 보안 체계 강화에 최선을 다하겠다”라며 “심려를 끼쳐 드려 다시 한번 진심으로 사과드린다”고 전했다.
