개인정보보호위원회가 티머니‧NHN커머스‧한국연구재단의 개인정보 유출 사고에 대해 과징금 등을 부과했다고 29일 밝혔다.
개인정보위는 전날 제2회 전체회의를 열고 개인정보 보호법을 위반한 티머니에 5억3400만원의 과징금을 부과하고 홈페이지에 해당 사실을 공표하도록 했다. 이어 구체적인 재발 방지 대책을 수립‧시행하도록 시정조치를 명령했다.
개인정보위는 지난해 4월11일 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 보호법에 따른 안전조치 의무를 소홀히 한 것으로 확인했다.
티머니의 ‘티머니&페이’ 웹사이트에 신원 미상의 해커가 지난해 3월13일부터 3월25일까지 크리덴셜 스터핑 공격 방법으로 침입해 5만1691명의 이름, 이메일 주소, 휴대폰 번호, 주소 등 개인정보를 유출했다.
크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정‧비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격이다.
개인정보위 조사 결과에 따르면 해당 기간 해커는 티머니 카드&페이 웹사이트에 국내‧외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만번 이상 대규모로 로그인을 시도했다. 이 중 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.
이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 ‘T마일리지’ 약 1400만원을 선물하기 기능으로 탈취해 추가적인 피해가 발생했다.
이는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생하였음에도 이에 대한 침입 탐지‧차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다.
NHN커머스는 쇼핑몰 구축을 원하는 이용사업자들에게 서비스형 소프트웨어(SaaS)방식의 ‘e나무’ 솔루션을 제공하고 있다. 해당 솔루션의 장바구니 관련 웹페이지에서 지난 2024년 9월 SQL 인젝션 공격으로 17개 이용사업자(근린생활시설 등을 운영하는 소상공인 또는 중소기업) 홈페이지에서 총 122건 문자 개인정보가 유출되는 사고가 발생했다.
SQL 인젝션 공격은 공격자가 데이터베이스(DB) 질의어(SQL쿼리)를 비정상 조작해 권한 없는 정보에 접근할 수 있는 해킹 기법이다.
e나무의 해당 솔루션은 서비스를 개시한지 약 10여년이 지난 구형 솔루션으로 기술지원 및 보안관리가 제대로 이루어지지 않았다. 대부분의 이용사업자가 차세대 솔루션으로 이전을 완료한 상태다. 그러나 소수의 영세 이용사업자들이 홈페이지 이전‧재구축을 하지 못하고 기존의 e나무 솔루션을 계속 이용하던 중 이번 개인정보 유출 사고가 발생했다.
NHN커머스는 이용사업자들에게 일회성으로 이메일‧전화를 발송했을 뿐 통지가 제대로 도달했는지를 확인하지 않았다. 또 상황을 인식하지 못한 일부 이용사업자들이 있음을 인지하고 있었고, 개인정보가 유출된 정보주체의 연락처를 알았지만 직접 유출통지를 하는 등의 후속조치를 취하지 않았다.
이에 정보주체에 대한 유출 통지가 72시간 내 이루어지지 않은 결과를 초래했다.
개인정보위는 NHN커머스가 보호법상 안전조치를 불이행한 부분에 대해 과징금 870만원, 정보주체에 대해 유출통지를 완료하지 못한 부분에 대해 과태료 450만원을 부과했다. 행정처분을 받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
이어 구형 e나무 솔루션의 낮은 이용률, 전담 조직 해체 상황, 과거 유사 해킹 전력 등을 고려할 때 향후 안전성 확보조치 이행을 객관적으로 기대하기 어렵다고 판단했다. 해당 솔루션의 기존 이용사업자 중 웹사이트를 계속 운영하려는 자에게는 대체 솔루션을 제공하고 웹사이트 이관 작업을 지원할 것을 개선권고했다.
개인정보위는 개인정보 유출 신고에 따라 조사한 결과 한국연구재단이 운영하는 온라인논문투고시스템(JAMS)의 보호법 위반 사실을 확인했다. 해커는 지난해 6월 JAMS 내 학회페이지의 ‘비밀번호 찾기’ 인터넷주소(URL)에 존재하는 취약점을 악용했다. 해커는 파라미터 변조 및 이메일 무작위 대입을 통해 JAMS 회원 약 12만여명의 개인정보를 열람했다.
열람된 개인정보는 성명, ID, 이메일, 휴대폰 번호, 계좌번호 등 44개 항목이다.
해당 취약점은 2013년부터 존재했으나 연구재단은 장기간 이를 탐지‧개선하지 못했고 유출 사고로 이어졌다. 연구재단은 JAMS 포털을 대상으로만 취약점 점검을 실시하고 1600여개에 달하는 학회페이지에 대해서는 취약점 점검을 실시하지 않은 것으로 나타났다.
또 연구재단은 지난해 6월 12일 유출통지를 하면서 유출 항목 중 개인 식별성이 높은 휴대폰 번호와 계좌번호, 연구자등록번호 등을 누락하고 통지하는 등 유출통지를 적절히 수행하지 않은 사실도 확인됐다.
연구재단은 주민등록번호를 수집‧이용하지 않으나 일부 회원이 JAMS ‘비고’란에 주민등록번호를 임의로 기재함에 따라 주민등록번호도 116건 유출됐다. 연구재단은 유출사고 이전에 JAMS 웹방화벽에서 주민등록번호(숫자 13자리)가 탐지됐으나 이를 오탐으로 간주하고 사실 확인 등 후속조치를 하지 않았다.
게다가 연구재단은 해킹 이후에도 충분한 시스템 개선 없이 시스템을 운영하다 지난해 6월 17일 JAMS 회원 명의를 도용하는 2차 피해가 발생하는 등 개인정보 보호체계 전반이 미흡했다.
개인정보위는 이번 유출 사고를 매우 중대한 사고라고 판단했다. 연구재단이 안전조치의무를 위반하고 개인정보 유출통지를 미흡하게 한 것에 대해 7억300만원의 과징금과 480만원의 과태료를 부과했다.
이어 연구재단이 JAMS에 대한 취약점 점검을 실시하고, 누락한 항목을 포함해 개인정보 유출통지를 다시 할 것 등을 시정명령했다. 아울러 국가 핵심 연구기관에 걸맞은 수준으로 개인정보 보호 체계를 갖출 것을 개선권고하고 동시에 책임자 징계도 권고했다.
연구재단의 위반 상태가 장기간 지속된 점을 고려해 처분 결과를 개인정보위 홈페이지에 1년간 공표하고, 재단 홈페이지에도 공표하도록 명령했다.
