⁠⁠⁠⁠⁠⁠⁠

고학수 개인정보보호위원회 위원장이 지난 9일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제8회 개인정보보호위원회 전체회의에서 모두말씀을 하고 있다. <사진=개인정보보호위원회>

개인정보보호위원회는 개인정보 보호 법규를 위반한 KT알파와 클래스유에 대해 총 5851만원의 과징금 및 1410만원의 과태료를 부과했다고 10일 밝혔다.

개보위에 따르면 취미·기술 등의 분야에서 온라인 강의 서비스를 운영하는 클래스유의 경우 신원 미상의 해커가 지난 2023년 8월 1일부터 지난해 7월 25일까지 이 회사 데이터베이스(DB) 관리자 계정을 통해 이용자 약 160만명의 개인정보를 유출되는 사고가 발생했다.

조사 결과 클래스유는 개인정보처리시스템에 접근할 수 있는 권한을 아이피(IP) 주소 등으로 제한하지 않았다. 또 다수의 개인정보 취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하는 등 안전조치 의무를 소홀히했다.

특히 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다.

개보위는 “처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 통지했다”고 지적했다.

다만 개보위는 클래스유의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대한 감경 규정을 적용, 과징금 5360만원과 과태료 720만원을 부과했다.

이어 개보위는 해커가 2023년 1월 말부터 2월 초까지 기프티쇼(모바일 상품권 판매) 웹사이트 로그인 페이지에 ‘크리덴셜 스터핑’ 공격을 시도해 회원 개인정보가 유출된 케이티알파(KT알파)에 대해서도 과징금 491만원과 과태료 690만원을 부과했다. KT알파는 홈쇼핑, TV·영화 콘텐츠, 모바일 상품권 판매 등 서비스업을 하고 있는 KT 자회사다.

크리덴셜 스터핑 공격은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식으로, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.

개보위 조사 결과 해커는 기프티쇼 웹사이트에 4305개의 IP 주소를 사용해 총 540만번 이상 대규모로 로그인을 시도했고, 약 9만 8000명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람하고, 포인트를 무단 사용하는 등 2차 피해도 야기했다.

개보위는 KT알파가 안전조치의무를 소홀히 했으나 웹페이지 내 개인정보를 보호하기 위한 ‘마스킹’ 조치를 사전에 취해 실제 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다고 설명했다. 다만 개보위는 KT알파가 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실이 확인됐다고 지적했다.

개보위는 “크리덴셜 스터핑 공격을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다”고 당부했다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지