개인정보보호 법규 위반으로 클래스유와 케이티알파가 각각 과징금 5360만 원과 491만 원을 부과받았다.
개인정보보호위원회(위원장 고학수)는 9일 제8회 전체회의를 열고 개인정보 보호 법규를 위반한 클래스유와 케이티알파 두 사업자에 대해 총 5851만 원의 과징금과 1410만 원의 과태료를 부과하고, 공표 및 공표명령을 의결했다고 밝혔다.
클래스유는 취미·기술 등 다양한 분야의 온라인 강의 서비스를 운영하고 있고, 케이티알파는 홈쇼핑, 티브이(TV)·영화 콘텐츠, 모바일 상품권 판매(기프티쇼) 서비스를 운영하고 있다.
클래스유:과징금 5360만 원과 과태료 720만 원 부과...시정명령 및 공표명령도
2023년 8월 1일부터 2024년 7월 25일까지 근 1년간 클래스유의 데이터베이스(DB)에 해커가 접속, 이용자 약 160만 명의 개인정보를 빼냈다. 관리자 계정 탈취 경로는 확인되지 않았다. 클래스유의 개인정보취급자가 데이터베이스(DB) 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영한사실이 확인, 해당 경로로 유출된 것으로 추정됐다.
개보위 조사 결과, 클래스유는 다수의 안전조치 의무를 위반한 것으로 밝혀졌다. 우선 개인정보처리시스템(DB)에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았고, 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다. 또 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다.
아울러, 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 통지했다. 하지만 개보위는 위반행위자의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다.
과징금 부과기준(개인정보보호위원회 고시 2023-3호, 2023.9.15.시행) 제11조제1항에 따라 재무상황 등 현실적인 부담능력을 고려해 90% 범위에서 감경이 가능하다. 개보위는 클래스유에 과징금 5360만 원과 과태료 720만 원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령하는 한편, 보안 취약점 점검·조치 등 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 주문했다.
케이티알파 : 과징금 491만 원과 과태료 690만 원 부과, 결과 공표
해커가 2023년 1월 28일부터 2월 6일까지 케이티알파가 운영중인 기프티쇼(모바일 상품권 판매) 웹사이트의 로그인 페이지에 크리덴셜 스터핑(Credential Stuffing) 공격을 시도, 기프티쇼 회원의 개인정보가 유출됐다. 크리덴셜 스터핑 공격은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식으로 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.
개인정보위 조사 결과에 따르면, 위 기간동안 해커는 ‘기프티쇼’ 웹사이트에 4305개의 아이피(IP) 주소를 사용해 총 540만 번 이상 대규모로 로그인을 시도했고, 약 9만 8천 명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람함과 동시에, 포인트를 무단 사용하는 등 2차 피해로 이어졌다.
동일 아이피(IP)에서 1분당 최대 1140회 로그인 시도가 있었고, 공격 기간의 일평균 로그인 시도 건수는 평시 대비 550배 높은 것으로 확인됐다. 이는, 케이티알파가 특정 아이피(IP) 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했기 때문으로 밝혀졌다.
다만, 해커가 약 9만 8천 명의 회원 계정으로 로그인에는 성공했지만, 케이티알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 했기 때문에 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다. 또 조사 과정에서 케이티알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과, 유출 통지했다. (구)개인정보 보호법(법률 제16930호, 2020. 8. 5. 시행)에 따르면 정보통신서비스 제공자는 개인정보 유출 인지 후 24시간 이내 유출 사실을 통지해야 한다.
관련기사
- '개인정보 유출' 美 23앤드미, 결국 파산보호 신청2025.03.25
- 작년 개인정보유출 사고 307건···해킹 비중 56%(171건)2025.03.20
- 작년 7월 개인정보 유출 모두투어네트워크에 과징금 7억5700만원2025.03.13
- 인크루트서 또 개인정보 유출…"규모 확인 중"2025.03.11
이에 개인정보위는 케이티알파에 과징금 491만 원과 과태료 690만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하라고 주문했다.
개인정보처리자는 처리 중인 개인정보가 유출되지 않도록 개인정보처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적이며, 크리덴셜 스터핑 공격을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다고 개인정보위는 당부했다.
