해피포인트 앱 개인정보 유출…섹타나인 과징금·과태료 14.8억

'해피포인트' 앱, 2차례 개인정보 유출 사고 발생
개인정보위 "운영사, 안전조치 의무 소홀"
1.7만명 개인정보 유출…포인트 무단 사용 등 2차 피해도

▲최장혁 개인정보보호위원회 부위원장이 12일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제3회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. (사진제공=개인정보보호위원회)

SPC그룹의 IT 서비스·마케팅 계열사 섹타나인이 개인정보보호법 위반으로 14억 7700만 원의 과징금과 720만 원의 과태료를 부과받았다.

개인정보보호위원회는 12일 제3회 전체회의를 열고, 섹타나인에 이같이 과징금과 과태료 부과하기로 의결했다고 13일 밝혔다. 섹타나인은 파리바게트, 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하는 회사로, 2022년 10월과 2023년 10월 두 차례 개인정보 유출 사고가 발생했다.

개인정보위는 개인정보 유출 신고에 따라 조사 했으며, 섹타나인이 안전조치의무를 소홀히 하고 유출 통지·신고를 지연했다고 밝혔다.

첫번째 유출 사고는 신원 미상의 해커가 2022년 10월 5일부터 10월 11일간 해피포인트 앱에 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 시도하며 발생했다. 크리덴셜 스터핑이란 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입하여 접속(로그인)을 시도하는 공격 방식이다.

해커는 이 방식을 통해 로그인 성공 시 응답 값을 이용자에게 회신하는 API를 통해 이름·아이디·성별·생년·해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다. 이 중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했다. 이후 2023년 10월 30일부터 11월 3일에도 동일한 방식의 해킹 공격이 발생해 9762명의 개인정보가 추가로 유출됐다.

개인정보위 "보호조치 불충분…2번째 사고 신고 지연"

개인정보위는 섹타나인이 고객정보 보호를 위한 충분한 조치를 하지 않았다고 강조했다.

섹타나인은 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, 응용프로그램 인터페이스(API) 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치를 소홀히 했다. 최초 유출 사고 이후에도 재발방지 대책을 충분히 마련하지 않아 같은 방식으로 유출 사고가 또다시 발생했다.

아울러, 2022년 발생한 사고는 유출 통지·신고가 제때 이루어졌으나, 2023년 발생한 사고의 경우 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 경과하여 유출 통지·신고한 사실도 확인됐다.

개인정보위는 개인정보를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 하고, 사고가 이미 발생한 경우에는 재발 방지 대책을 면밀히 수립해 유출 사고가 재발하지 않도록 각별한 노력을 기울일 것을 당부했다.