개인정보위, SK스토아·동행복권 정보유출로 강력 제재
개인정보보호위원회(개인정보위)는 SK스토아와 동행복권이 개인정보 안전조치 의무를 소홀히 해 이용자 개인정보를 유출한 사실이 확인됨에 따라 총 19억4280만 원의 과징금과 과태료를 부과했다고 23일 밝혔다.
SK스토아는 과징금 14억3200만 원, 과태료 300만 원을, 동행복권은 과징금 5억300만 원, 과태료 480만 원을 각각 처분받았다.
SK스토아는 자사의 온라인 쇼핑몰 및 TV홈쇼핑 웹사이트에서 발생한 보안 사고로 12만5000여 명의 개인정보가 유출됐다.
개인정보위 에 따르면, 신원 미상의 해커가 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 2023년 11월 14일부터 21일까지 SK스토아 웹사이트에 국내외 14개 IP 주소를 이용해 1초당 최대 372회, 총 4400만 건 이상의 로그인을 시도했다.
이 중 12만5000여 개의 회원 계정에 로그인에 성공해 개인정보를 탈취한 것으로 확인됐다.
크리덴셜 스터핑 공격은 하나의 계정과 비밀번호 정보를 확보한 후 이를 다른 사이트에서 동일하게 사용해 로그인을 시도하는 방식이다.
SK스토아는 이러한 대량의 반복적인 로그인 시도를 탐지하고 차단할 조치를 마련하지 못했고, 일부 웹페이지에서는 이용자의 비밀번호가 암호화되지 않은 상태로 송·수신된 사실도 드러났다.
한편, 동행복권의 복권 통합포털 ‘동행복권’에서는 해커가 75만 명의 이용자 개인정보를 유출했다.
해커는 미리 확보한 회원 아이디를 이용해 비밀번호 변경 과정에서 발생한 보안 취약점을 악용, 다른 회원들의 비밀번호를 변경하고 로그인을 시도했다.
개인정보위는 동행복권이 비밀번호 변경 기능 설계 및 구현 시 보안 취약점을 점검·개선하지 않았으며, 해커의 과도한 접속 시도를 탐지하고 차단하는 안전조치가 미흡했다고 지적했다.
배동현 ([email protected]) 기사제보
관련 기사
