SK스토아·동행복권, 개인정보 유출로 과징금 19억원

해커의 크리덴셜 스터핑과 보안 취약점 악용…총 100만명 개인정보 유출

컴퓨팅입력 :2025/01/24 08:18

정부가 SK스토아와 동행복권서 발생한 대규모 개인정보 유출 사고와 관련해 총 19억4천280만원 과징금과 과태료를 부과하고 해당 사실을 공표하기로 의결했다.

개인정보보호위원회는 지난 22일 서울정부청사에서 제2회 전체회의를 열고 SK스토아와 동행복권에 대한 처벌 조치를 이같이 결정했다고 24일 밝혔다. 

SK스토아는 크리덴셜 스터핑 공격을 받아 약 12만5천명 개인정보를 유출한 것으로 밝혀졌다. 동행복권의 경우 비밀번호 변경 기능의 보안 취약점이 악용돼 약 75만명 개인정보가 빠져나갔다.

고학수 개인정보보호위원회 위원장.

SK스토아의 경우 신원 미상 해커가 지난해 11월 14일부터 21일까지 국내외 14개 아이피를 통해 총 4천400만건 넘는 로그인을 시도한 끝에 12만5천개 계정에 접근한 것으로 드러났다. 이 과정에서 비밀번호가 암호화되지 않은 상태로 전송된 사실도 추가로 확인됐다.

동행복권에서는 지난해 11월 4~5일까지 해커가 사전에 확보한 회원 아이디를 활용해 비밀번호 변경 기능의 보안 취약점을 악용했다. 인증되지 않은 아이디로 비밀번호를 임의로 변경한 뒤 계정에 접근해 약 75만명의 개인정보를 유출한 것으로 밝혀졌다.

개인정보위는 SK스토아에 과징금 14억3천200만원과 과태료 300만원을, 동행복권에 과징금 5억300만원과 과태료 480만원을 부과했다. 두 회사 모두 홈페이지에 이 사실을 공표하도록 명령받았다.

관련기사

SK스토아는 사고 이후 보안 정책을 강화하고 유출된 계정 초기화와 로그인 방식 변경을 실시했다. 동행복권도 누리집을 임시 폐쇄한 후 비밀번호 초기화와 취약점 개선을 진행하며 추가적인 보안 대책을 마련했다.

고학수 개인정보위 위원장은 "최근 크리덴셜 스터핑 등 해킹 공격이 빈번해지는 만큼 이상행위 탐지, 차단 조치 등 보안 대책을 강화해야 한다"며 "이용자 인증 관련 취약점 점검에도 각별히 주의할 필요가 있다"고 강조했다.