SBS Biz

개인정보 보호 조치를 소홀히 해 해커에게 회원 개인정보가 털린 SK스토아와 동행복권이 19억4천280만 원 규모의 과징금과 과태료 처분을 받았습니다. 

개인정보보호위원회는 23일 개인정보 보호법을 위반한 동행복권과 SK스토아에 대한 과징금과 시정명령 처분을 전날 전체회의에서 의결했다고 밝혔습니다.

개인정보위에 따르면 SK스토아는 온라인 쇼핑몰 웹사이트에 신원 미상의 해커가 2023년 11월 14일부터 21일까지 '크리덴셜 스터핑(Credential Stuffing)' 공격 방법으로 침입해 12만5천여 명의 개인정보가 유출됐다습니. 

크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격으로, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보입니다.

개인정보위 조사 결과, 해당 기간 해커는 SK스토아 웹사이트에 국내외 14개 IP 주소를 통해 1초당 최대 372회, 총 4천400만 번 이상 대규모로 로그인을 시도했습니다. 

공격 기간 일평균 로그인 시도 건수는 평시 대비 1천92배 높은 것으로 나타났고. 이 중 12만5천여 개 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐습니다.

이에 개인정보위는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응과 같은 안전조치의무를 소홀히 했다고 판단했습니다. 

조사 과정에서 SK스토아 일부 웹페이지에서는 이용자의 비밀번호가 암호화 조치 되지 않은 평문 상태로 송·수신된 사실도 추가적으로 파악됐습니다.

이정은 개인정보위 조사2과장은 브리핑에서 "대규모 로그인이 시도된 국가는 중국과 미국이었고, 해커의 신상에 대해서는 특정할 수 없었다"고 말했습니다. 

개인정보위는 SK스토아에 모두 14억3천200만 원의 과징금과 300만 원의 과태료를 부과하고, 사업자 홈페이지에 그 사실을 공표하도록 명령했습니다.

동행복권의 경우 2023년 11월 해커는 복권통합포털인 동행복권 웹사이트의 회원 아이디(ID) 목록을 미리 확보한 뒤 보안 취약점을 노려 로그인에 성공했습니다.

이를 통해 약 75만명의 개인정보가 외부로 흘러 나간 것으로 파악됐습니다. 

개인정보위는 동행복권이 '비밀번호 변경 기능'을 설계할 때 인증 보안 취약점에 대해 점검과 개선 조치를 소홀히 했고, 해커의 공격을 감지·차단하는 안전조치를 미흡하게 설정했기 때문이라고 설명했습니다. 

이에 따라 동행복권에 과징금 5억300만 원과 과태료 480만 원을 부과하고, 동행복권 사이트에 해당 내용을 공표하도록 명령했습니다.