“한 번 당하고도 또”…개인정보 유출 '해피포인트 운영사'에 과징금 14억

해피포인트 운영사 '섹타나인'이 해커의 공격을 받아 1만7000여명의 개인정보를 유출해 14억원의 과징금 처분을 받았다. 특히 섹타나인은 2022년 크리덴셜 스터핑(Credential Stuffing) 공격으로 개인정보를 유출했음에도 일 년 만에 동일한 수법에 당해 개인정보를 또다시 유출했다. 조사결과 재발방지책 부실이 드러나는 등 사이버 보안에 대한 인식이 부족하다는 지적이 나온다.

개인정보보호위원회는 지난 12일 서울 종로구 정부서울청사에서 전체회의를 열고, 개인정보 보호 법규를 위반한 섹타나인에 대해 14억7700만원의 과징금과 720만원의 과태료를 부과하고 공표 명령하기로 의결했다.

섹타나인 파리바게트·베스킨라빈스 등 23개 브랜드의 가맹점에서 이용가능한 해피포인트 멤버십 서비스 등을 운영하는 회사다.

해커는 지난 2022년 10월 5~11일 해피포인트 애플리케이션에 크리덴셜 스터핑 공격을 시도해 로그인에 성공했다. 크린덴셜 스터핑은 사전에 취득한 사용자 계정·비밀번호 정보를 무차별 대입해 접속을 시도하는 공격방식으로, 단순하지만 해커가 즐겨 사용하는 수법으로 통한다.

해커는 로그인에 성공한 이후 응답값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름·아이디·성별·생년·해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다. 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생하기도 했다. 더욱이 2023년 10월 30일부터 11월 ３일까지 동일한 방식의 해킹 공격이 또다시 발생해 9762명의 개인정보가 추가로 유출됐다.

조사 결과, 섹타나인은 짧은 시간 동안 동일 아이피(IP) 주소에서 대규모 로그인 시도를 탐지·차단할 수 있는 대책을 마련하지 않았다. 크리덴셜 스터핑은 로그인 시도 횟수와 로그인 실패율이 급증하는 게 특징으로 IP 차단 등의 방식으로 대응이 가능한 데, 대비에 소홀했던 것이다. 특히 2022년 10월 최초 유출 사고 이후에도 재발 방지 대책을 충분히 마련하지 않아 동일한 방식으로 유출 사고가 발생했다. 또 API 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치도 제대로 이뤄지지 않았다.

개인정보위는 이번 전체회의에서 소셜로그인 서비스를 제공하는 네이버·카카오·구글·메타·애플 등 5개 사업자에 대한 사전 실태점검 결과를 발표했다.

소셜로그인은 포털·사회관계망서비스(SNS) 계정의 회원정보를 다른 웹사이트나 모바일 앱에 연동해 이용자가 손쉽게 로그인하는 방식을 말한다. 현재 50만여개 국내 사이트에서 활용하고 있다.

점검 결과, 5개 사업자 모두 개인정보 제공 관련 법 위반은 없었으나, 일부 사업자는 이용자의 개인정보 파기 등이 적정하게 이뤄지지 않았다. 개인정보위는 소셜로그인 이용 사이트 연동해지 이용률 제고, 소셜계정 탈퇴 시 이용사이트에 일괄통보 기능 제공, 이용사이트의 토큰폐기 기능 안내 방안 등 대책을 마련할 것을 권고했다.

조재학 기자 2jh@etnews.com