섹터나인, 해피포인트 개인정보 유출로 15억 과징금
파리바게트, 베스킨라빈스 등에서 사용 가능한 해피포인트 운영사 섹터나인 이 개인정보 유출 관리 부실로 15억 원 규모의 과징금을 부과받았다.
개인정보보호위원회는 13일, 개인정보 보호 법규를 위반한 섹터나인 에 대해 14억7700만 원의 과징금과 720만 원의 과태료를 부과한다고 밝혔다.
조사에 따르면, 섹터나인은 고객정보 보호 조치를 제대로 하지 않아 2022년과 2023년 두 차례에 걸쳐 총 1만7347명의 개인정보가 유출됐다.
해커는 무작위로 아이디와 비밀번호를 대입하는 ‘크리덴셜 스터핑’ 공격을 통해 로그인에 성공한 후, 해피포인트 앱 서버에서 개인정보를 탈취했다.
2022년 10월 5일부터 11일까지 7585명의 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등의 정보가 유출됐으며, 일부 이용자의 해피포인트가 무단으로 사용되는 피해도 발생했다.
이어 2023년 10월 30일부터 11월 3일까지 동일한 방식의 해킹 공격이 발생해 추가로 9762명의 개인정보가 유출됐다.
개인정보위는 섹터나인이 ▲짧은 시간 내 동일 IP에서 대량 로그인 시도를 탐지·차단하는 대책을 마련하지 않은 점 ▲응용프로그램 인터페이스(API) 응답값에 포함된 개인정보를 암호화하지 않은 점 ▲최초 유출 사고 이후 재발 방지 대책을 충분히 마련하지 않은 점 등을 문제로 지적했다.
또한, 2023년 발생한 개인정보 유출 사고의 경우, 유출 사실을 인지한 후 72시간 내 신고해야 하는 규정을 지키지 않아 신고가 지연된 점도 확인됐다.
개인정보위 관계자는 “개인정보를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 하고, 사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립해 유출사고가 재발하지 않도록 각별한 노력을 기울여야 한다”고 강조했다.
배동현 (grace8366@sabanamedia.com) 기사제보
관련 기사
