개인정보위, ㈜섹타나인 개인정보 유출사고에 대해 과징금·과태료 총 14억 8,420만 원 부과

- 공표 명령과 더불어, 유출사고 예방 철저 및 면밀한 재발방지 대책 수립 노력도 당부

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 2월 12일(수) 제3회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜섹타나인*에 대해  14억 7,700만 원의 과징금과 720만 원의 과태료를 부과하고 공표 명령하기로 의결하였다.

   * 파리바게트, 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영 

  개인정보위는 개인정보 유출 신고에 따라 조사를 실시하였고, ㈜섹타나인이「개인정보 보호법」(이하 '보호법')에 따른 안전조치의무를 소홀히 하고 유출 통지·신고를 지연한 사실을 확인하였다. 구체적인 위반 내용과 처분 결과는 다음과 같다.

  [사실관계 및 위반 내용]

  신원 미상의 해커는 '22.10.5. ~ 10.11. 동안 ㈜섹타나인이 운영중인 해피포인트 앱에 '크리덴셜 스터핑*(Credential Stuffing)' 공격을 시도하여 로그인에 성공하였다. 이후, 서버에서 로그인 성공 시 응답값을 이용자에게 회신하는 응용프로그램 인터페이스(API)**를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7,585명의 개인정보를 탈취하였고, 이중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생하였다. 이후 '23.10.30. ~ 11.３. 동안 동일한 방식의 해킹 공격이 또다시 발생하여 9,762명의 개인정보가 추가로 유출되었다.

   * 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입하여 접속(로그인)을 시도하는 공격 방식으로 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보임

  ** 응용프로그램 인터페이스(API, Application Programming Interface) : 운영체제와 응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식

  ㈜섹타나인은 고객정보 보호를 위한 충분한 조치를 하지 않았다. 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도*가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, 응용프로그램 인터페이스(API) 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치를 소홀히 하였다. 또한, 최초 유출 사고('22.10월) 이후에도 재발방지 대책을 충분히 마련하지 않아 동일한 방식으로 유출 사고('23.11월)가 또다시 발생한 것이다.

   * 1차('22.10월) : 총 109,183회 로그인 시도, 동일 IP에서 1분당 최대 5,063회2차('23.11월) : 총 179,310회 로그인 시도, 동일 IP에서 1분당 최대 11,918회

  아울러, '22년 발생한 사고는 유출 통지·신고가 제때 이루어졌으나, '23년 발생한 사고의 경우 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 경과하여 유출 통지·신고한 사실도 확인되었다.

  [처분 결과]

  이에 개인정보위는 ㈜섹타나인에 과징금 14억 7,700만 원과 과태료 720만 원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령하였다.

  개인정보위는 개인정보를 처리하는 사업자의 경우 운영중인 시스템에 대한 안전조치를 철저히 하고, 사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립하여 유출사고가 재발하지 않도록 각별한 노력을 기울일 것을 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 지한구(02-2100-3123)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”