개인정보위, 회원 개인정보 유출한 클래스유·KT알파에 과징금

[아이뉴스24 윤소진 기자] 개인정보보호위원회(개인정보위)는 9일 제8회 전체회의를 열고 개인정보 보호 법규를 위반한 2개 사업자 클라스유와 케이티알파에 대해 총 5851만 원의 과징금 및 1410만 원의 과태료를 부과했다.

클래스유는 취미·기술 등 다양한 분야의 온라인 강의 서비스 운영하는 회사다. 개인정보위는 신원 미상의 자(해커)가 알 수 없는 방법으로 획득한 데이터베이스(DB) 관리자 계정을 통해 지난 2023년 8월 1일부터 지난해 7월 25일까지 클래스유의 데이터베이스(DB)에 접속해 이용자 약 160만명의 개인정보를 탈취한 사실을 확인했다.

관리자 계정 탈취 경로는 확인되지 않았으나 클래스유의 개인정보취급자가 DB 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장· 운영했던 사실이 확인되면서 이 경로로 유출된 것으로 추정하고 있다.

조사 결과 클래스유는 다수의 안전조치 의무를 위반한 것으로 밝혀졌다. 개인정보처리시스템(DB)에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았다. 다수의 개인정보취급자가 정당한 사유 없이하나의 관리자 계정을 공유하고 있었다. 또한 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다.

처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과하여 유출 통지한 사실도 확인했다. 하지만 위반행위자의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다.

이에 개인정보위는 클래스유에 과징금 5360만 원과 과태료 720만 원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다. 또 보안 취약점 점검·조치 등 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령하고 개인정보위는 이행결과를 면밀히 점검할 방침이다.

KT알파는 과징금 491만원과 과태료 690만원 부과받았다. 이 회사는 홈쇼핑, 티브이(TV)·영화 콘텐츠, 모바일 상품권 판매(기프티쇼) 등 서비스 운영한다.

개인정보위는 지난 2023년 1월 28일부터 같은해 2월 6일까지 KT알파가 운영 중인 기프티쇼(모바일 상품권 판매) 웹사이트의 로그인 페이지에 ‘크리덴셜 스터핑(사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입하여 접속을 시도하는 공격 방식)'을 시도해 회원의 개인정보가 유출된 사실을 확인했다.

이 기간 해커는 ‘기프티쇼’ 웹사이트에 4305개의 IP 주소를 사용해 총 540만 번 이상 대규모로 로그인을 시도했으며, 약 9만 8000명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를열람하고 포인트를 무단 사용하는 등 2차 피해도 야기시켰다.

KT알파가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했기 때문으로 밝혀졌다.

다만 KT알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 했기 때문에 해커가 9만 8000명의 계정 로그인에 성공했음에도 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다.

조사 과정에서 KT알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실도 확인됐다.

이에 개인정보위는 KT알파에 과징금 491만 원과 과태료 690만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 했다.

개인정보위는 "개인정보처리자는 처리 중인 개인정보가 유출되지 않도록 개인정보처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적"이라며 "개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다"고 당부했다