 |
| (사진=연합뉴스) |
[알파경제=차혜영 기자] 개인정보보호위원회가 대규모 해킹 사고로 17만명이 넘는 개인정보를 유출한 한국연구재단과 티머니에 총 12억4180만원의 과징금과 과태료를 부과했다.
개인정보위는 28일 제2회 전체회의를 열고 개인정보 보호법을 위반한 두 기관에 대해 이같이 의결했다고 29일 밝혔다.
한국연구재단은 과징금 7억300만원과 과태료 480만원을 합쳐 총 7억780만원을 물게 됐다.
재단이 운영하는 온라인논문투고시스템 JAMS가 지난해 6월 6일 해커의 공격을 받아 회원 약 12만명의 개인정보가 유출됐다.
해커는 JAMS 학회 페이지의 '비밀번호 찾기' 인터넷주소에 존재하던 취약점을 악용했다. 이메일 주소를 임의로 변경하면 정상 인증 절차 없이 개인정보 화면에 접근할 수 있는 구조였다.
성명과 아이디, 이메일, 휴대전화번호, 계좌번호 등 44개 항목이 유출됐다. 개인정보위 조사 결과 이 취약점은 2013년부터 존재했지만 재단은 장기간 탐지하지 못한 것으로 드러났다.
재단은 JAMS 포털에만 점검을 집중했고, 실제로 운영 중인 1600여개 학회 페이지에 대해서는 취약점 점검을 실시하지 않았다. 해킹 이후에도 충분한 시스템 개선 없이 운영을 지속하다가 6월 17일 회원 명의를 도용하는 2차 피해가 발생했다.
개인정보위는 재단에 JAMS 전반에 대한 취약점 점검 실시와 누락 항목을 포함한 유출 통지 재실시를 명령했다. 국가 핵심 연구기관에 걸맞은 개인정보 보호체계 강화를 개선 권고하고 책임자 징계도 권고했다.
티머니는 과징금 5억3400만원을 부과받았다. 선불 교통카드 서비스를 운영하는 티머니의 '티머니 카드&페이' 웹사이트가 지난해 3월 13일부터 25일까지 크리덴셜 스터핑 공격을 받아 5만1691명의 개인정보가 유출됐다.
크리덴셜 스터핑은 해커가 다른 곳에서 입수한 계정 정보로 여러 사이트에 반복적으로 로그인을 시도하는 해킹 기법이다.
해커는 국내외 9647개 인터넷주소를 활용해 총 1226만회 이상 로그인을 시도했다. 초당 최대 131회, 분당 최대 5265회에 이르는 비정상적인 접속이 발생했으며, 일평균 로그인 시도 건수는 평상시 대비 68배에 달했다.
이 과정에서 이름과 이메일, 휴대전화번호, 주소 등이 유출됐고, 로그인에 성공한 계정 중 4131명의 계정에서는 T마일리지 약 1400만원이 탈취되는 2차 피해도 발생했다.
개인정보위는 티머니가 특정 인터넷주소에서 대량의 반복적인 로그인 시도라는 명백한 이상 징후가 발생했는데도 침입 탐지와 차단 조치를 적절히 수행하지 않았다고 지적했다.
개인정보위는 티머니에 홈페이지에 과징금 부과 사실을 공표하도록 명령하고 구체적인 재발 방지 대책을 수립해 시행하라는 시정조치를 내렸다.
개인정보위 관계자는 "최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상 행위에 대한 침입 탐지와 차단 조치를 포함한 보안대책을 점검하고 강화해야 한다"고 강조했다.
알파경제 차혜영 기자(kay33@alphabiz.co.kr)
