개인정보보호법 안전조치 의무 소홀히
크리덴셜스터핑 방지 이용자 인증 주의
이상행위 탐지ㆍ차단 조치 강화 당부
개인정보위는 개인정보 유출 신고에 따라 조사한 결과 이들 사업자는 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것으로 확인됐다. SK스토아는 온라인 쇼핑몰 및 TV홈쇼핑을 운영하는 사업자로 온라인 쇼핑몰인 ‘SK스토아’ 웹사이트에 신원 미상의 해커가 2023년 11월. 14일부터 21일까지 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격 방법으로 침입해 12만 5000여명의 개인정보가 유출됐다.
크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격이다.
개인정보위 조사 결과에 따르면 이 기간 동안 해커는 SK스토아 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만 번 이상 대규모로 로그인을 시도했고 이 중 12만 5000여 개의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.
이는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응 등 안전조치 의무를 소홀히했기 때문인 것으로 밝혀졌다.
조사 과정에서 ‘SK스토아’ 일부 웹페이지에서는 이용자의 비밀번호가 암호화 조치 되지 않은 평문 상태로 송·수신된 사실도 추가적으로 확인됐다. 개인정보위는 SK스토아에 총 14억 3200만 원의 과징금과 300만 원의 과태료를 부과하고 사업자 누리집에 공표하도록 명령했다.
동행복권은 복권위원회로부터 복권 발행·관리 및 판매 등의 업무를 위탁받아 처리하는 사업자로 2023년 11월 4일부터 5일까지 신원 미상의 해커가 복권 통합포털인 ‘동행복권’ 웹사이트의 회원 아이디(ID) 목록을 사전에 확보하고 회원 비밀번호 변경 기능에 존재하는 보안 취약점을 악용해 다른 계정의 비밀번호를 임의 변경한 후 로그인에 성공했다. 이로써 약 75만 명의 개인
정보가 유출됐다.
이는 동행복권이 ‘비밀번호 변경 기능’ 설계·구현 시 이용자 인증 관련 보안 취약점에 대해 점검·개선 조치를 소홀히했으며 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치가 미흡했기 때문으로 밝혀졌다. 이에 따라 개인정보위는 동행복권에 총 5억 300만 원의 과징금과 480만 원의 과태료를 부과하고 사업자 누리집에 사실을 공표하도록 명령했다.
개인정보위 관계자는 “최근 크리덴셜 스터핑 등 해킹공격이 빈번하게 발생하는 만큼 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고, 이용자 인증 관련 취약점 점검 등에도 각별한 주의를 기울여 달라”고 당부했다.