티몬 해킹, 언제 어떻게 발생했나

신용카드, 이통사에 이은 정보 유출...이용자 우려 커져

일반입력 :2014/03/07 20:05    수정: 2014/03/08 18:33

남혜현 기자

티켓몬스터 이용자 113만명의 개인정보가 유출됐다. 신용카드, 이동통신사의 개인 정보가 유출된지 얼마 안 된 시점에 민감한 쇼핑 정보를 보유한 유통업체마저 해킹된 것이라 이용자들의 불안이 커질 수밖에 없게 됐다.

티켓몬스터(대표 신현성) 2011년 발생한 해킹으로 티몬 이용자 113만명의 이름, 아이디, 성별, 생년월일, 전화번호 등 개인정보가 유출됐다는 사실을 경찰로부터 지난 5일 통보받았다고 7일 밝혔다.

경찰에 따르면 정보 유츨은 지난 2011년 4월에 발생했으며 해킹에 의한 것으로 추정된다. 새나간 정보는 이름, 아이디, 성별, 생년월일, 전화번호 등이며 주민등록번호와 비밀번호 등은 해쉬 값(hash value)으로 일방향 암호화(one-way encryption) 처리돼 있어 유출되지 않은 것으로 파악된다.

티몬 측은 경찰 통보와 수사 이전에는 이같은 해킹 사실을 파악하지 못하고 있었던 것으로 확인했다. 티몬은 사건이 벌어진 2011년, 개인정보 담당을 외주 업체에 맡겼다가 이후 자체 기술로 전환했다.

이 회사측에 따르면 2011년 티몬 이용자 수는 110만명이었으며, 4월에는 130만명이었다. 정보 유출 시점은 3월과 4월 사이인 것으로 파악되며, 113만명은 당시 티몬 가입자 수와 거의 일치한다.

경찰은 현재 티몬 이용자 정보를 유출한 해커를 구속, 구체적인 해킹 경위와 개인 정보 유출 경로에 대한 수사를 진행하고 있다. 아직까지 용의자로 지목된 해커가 당시 티몬 개인 정보를 담당하던 외주 업체의 직원인지 여부는 알려지지 않았다. 유출된 개인 정보가 어떻게 활용됐는지도 공개하지 않았다.

티몬 측은 2011년에 외부 호스팅 업체와 일한 것은 맞지만 당시 법에서 정한 개인정보 보호 기준을 어기지는 않았다라고 말했다.

티켓몬스터는 지난 2010년 5월 창업한 국내 첫 소셜커머스로 현재 1천만 가입자가 이용하고 있다. 지난해에는 세계 최대 소셜커머스인 그루폰이 티몬을 인수, 올 1월 공정위로부터 인수합병을 승인 받았다.

티몬 측은 지난 2012년 개인 정보 보호에 대한 자체 기술을 확보한 이후에는 이같은 해킹 사건으로부터 안전하다고 강조했다.

지난해 정보통신망법에 따라 기업 정보자산 유출 피해를 사전에 예방하고 대처하기 위한 정보보호관리체계(ISMS; Information Security Management System) 인증을 획득했다.

관련기사

아울러 DB 접근 제어 솔루션과 외부 중요 정보 유출 차단 솔루션(DLP)을 갖추고 개인정보 취급자에 대한 물리적 망분리를 완료했다.

신현성 티켓몬스터 대표는 고객 분들께 실망과 불편을 드리게 되어 진심으로 죄송하고 머리 숙여 사과 드린다며 고객의 정보를 안전하게 보호하기 위해 최선의 노력을 기울여 왔지만, 보안에 있어서는 누구도 안심할 수 없다는 큰 깨달음을 얻었고, 앞으로 수사에 적극적으로 협조해 추가로 발생할 수 있는 사고에 대비할 것이라고 말했다.