'개인정보 유출' 클래스유·KT알파에 과징금·과태료 부과

개인정보위, 2개 사업자 제재조치
클래스유, 이용자 개인정보 160만건 유출
KT알파도 9만8000여건 무단 로그인
"개인정보 접근통제 조치 필요…마스킹 정책도 도움"

해킹으로 고객 개인정보가 유출된 클래스유와 KT알파가 총합 7200여만원 규모의 과징금과 과태료를 부과받았다.

개인정보보호위원회는 개인정보 보호 법규를 위반한 클래스유와 KT알파에 총 5851만원의 과징금과 1410만원의 과태료를 부과하고 공표명령을 의결했다고 10일 밝혔다.

개인정보보호위원회.

먼저 클래스유에는 5360만원의 과징금과 720만원의 과태료가 부과됐다. 시정명령과 공표명령도 함께 내려졌다. 온라인 강의 서비스를 운영하는 클래스유는 해커가 알 수 없는 방법으로 획득한 데이터베이스(DB) 관리자 계정을 통해 2023년 8월부터 2024년 7월까지 약 160만명의 이용자 개인정보를 유출했다.

개인정보위의 조사 결과, 클래스유는 개인정보 처리 시스템에 접근할 수 있는 접근권한을 IP 주소 등으로 제한하지 않았다. 여기에 다수의 개인정보 취급자가 하나의 관리자 계정을 공유하고 있었다. 이용자의 주민등록번호와 계좌번호를 암호화하지 않고 저장한 사실과 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않은 채 보관한 사실도 확인됐다. 개인정보 유출 인지 후 72시간을 넘겨 이용자들에게 통지한 것으로도 밝혀졌다.

개인정보위는 클래스유에 보안 취약점을 점검하고 조치하는 등 구체적인 개인정보 보호 강화 계획을 수립해 이행하는 내용의 시정명령을 내렸다.

KT알파에는 491만원의 과징금과 690만원의 과태료가 부과하고 처분 사실을 개인정보위 홈페이지에 공표하기로 했다.

개인정보위에 따르면 해커는 2023년 1월 말부터 2월 초까지 KT알파가 운영하는 모바일 상품권 판매 사이트 '기프티쇼'의 로그인 페이지에 '크리덴셜 스터핑' 공격을 시도해 회원 개인정보를 유출했다. 크리덴셜 스터핑은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 로그인을 시도하는 공격 방식이다.

해커는 4305개의 IP 주소를 사용해 기프티쇼 웹페이지에서 로그인을 총 540만번 이상 시도했다. 이를 통해 약 9만8000명의 회원 계정으로 로그인에 성공하였다. 이 중 51명의 회원 계정으로는 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람하는 동시에 포인트를 무단 사용하는 2차 피해도 발생했다.

개인정보위는 KT알파가 비정상적인 접속 시도를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 안전조치 의무를 소홀히 했다고 설명했다. 다만, 해커가 9만8000여명의 회원 계정으로 로그인에는 성공했지만 KT알파가 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 해 실제 개인정보가 유출된 건 51명에 그쳤다.

조사 과정에서 KT알파는 개인정보 유출 인지 후 24시간이 지나 유출을 통지한 사실도 확인됐다. 당시 적용된 개정 전 개인정보보호법에 따르면 정보통신 서비스 제공자는 개인정보 유출 인지 후 24시간 이내 유출을 통지해야 한다.

개인정보위 관계자는 "개인정보처리자는 처리 중인 개인정보가 유출되지 않도록 개인정보 처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적"이라며 "크리덴셜 스터핑 공격을 예방하기 위해 이상 행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다"고 당부했다.

이명환 기자 lifehwan@asiae.co.kr