개인정보위, 안전조치 의무 위반 등 개인정보 보호 법규를 위반한 2개 사업자 제재

- 외부의 불법적인 침입 발생 시 개인정보 유출 방지를 위한 접근통제 등 안전조치 철저 당부

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 4월 9일(수) 제8회 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자*에 대해 총 5,851만 원의 과징금 및 1,410만 원의 과태료를 부과하고, 공표 및 공표명령을 의결하였다.

   * ㈜클래스유 : 취미·기술 등 다양한 분야의 온라인 강의 서비스 운영 ㈜케이티알파 : 홈쇼핑, 티브이(TV)·영화 콘텐츠, 모바일 상품권 판매(기프티쇼) 등 서비스 운영

  이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  ㅇ ㈜클래스유 : 과징금 5,360만 원과 과태료 720만 원 부과, 시정명령, 공표명령

  신원 미상의 자(이하 '해커')가 알 수 없는 방법*으로 획득한 데이터베이스(DB) 관리자 계정을 통해 '23. 8. 1. ~ '24. 7. 25. 동안 ㈜클래스유의 데이터베이스(DB)에 접속하여, 이용자 약 160만 명의 개인정보를 유출하였다. 

   * 관리자 계정 탈취 경로는 확인되지 않았으나, ㈜클래스유의 개인정보취급자가 데이터베이스(DB) 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영하였던 사실이 확인되어 해당 경로로 유출된 것으로 추정

  조사 결과, ㈜클래스유는 다수의 안전조치 의무를 위반한 것으로 밝혀졌다. 우선 개인정보처리시스템(DB)에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았으며, 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다. 또한 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인되었다.

  아울러, 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과하여 유출 통지한 사실도 확인하였다. 하지만 위반행위자의 재무상황 등 현실적인 부담능력을 고려하여 과징금 부과액에 대해 감경 규정*을 적용하였다.

   * 과징금 부과기준(개인정보보호위원회 고시 2023-3호, 2023.9.15.시행) 제11조제1항에 따라 재무상황 등 현실적인 부담능력을 고려하여 90% 범위에서 감경 가능

  이에 개인정보위는 ㈜클래스유에 과징금 5,360만 원과 과태료 720만 원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령하는 한편, 보안 취약점 점검·조치 등 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령하고, 개인정보위는 이행결과를 면밀히 점검할 방침이다.

  ㅇ ㈜케이티알파 : 과징금 491만 원과 과태료 690만 원 부과, 결과 공표

  해커가 '23. 1. 28. ~ 2. 6. 동안 ㈜케이티알파가 운영중인 기프티쇼(모바일 상품권 판매) 웹사이트의 로그인 페이지에 '크리덴셜 스터핑*(Credential Stuffing)' 공격을 시도하여 기프티쇼 회원의 개인정보를 유출하였다.

   * 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입하여 접속(로그인)을 시도하는 공격 방식으로 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보임

  개인정보위 조사 결과에 따르면, 위 기간동안 해커는 '기프티쇼' 웹사이트에 4,305개의 아이피(IP) 주소를 사용해 총 540만 번 이상 대규모로 로그인을 시도*하였으며, 약 9만 8천 명의 회원 계정으로 로그인에 성공하였다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근하여 회원 개인정보를 열람함과 동시에, 포인트를 무단 사용하는 등 2차 피해도 야기시켰다.

   * 동일 아이피(IP)에서 1분당 최대 1,140회 로그인 시도가 있었으며, 공격 기간의 일평균 로그인 시도 건수는 평시 대비 550배 높은 것으로 확인됨

  이는, ㈜케이티알파가 특정 아이피(IP) 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 하였기 때문으로 밝혀졌다.

  다만, 해커가 약 9만 8천 명의 회원 계정으로 로그인에는 성공하였으나, ㈜케이티알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 하였기 때문에 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인되었다.

  또한, 조사 과정에서 ㈜케이티알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간*을 경과하여 유출 통지한 사실이 확인되었다. 

   * (구) 개인정보 보호법(법률 제16930호, 2020. 8. 5. 시행) 적용 사건으로, 정보통신서비스 제공자는 개인정보 유출 인지 후 24시간 이내 유출 통지하여야 함

  이에 개인정보위는 ㈜케이티알파에 과징금 491만 원과 과태료 690만 원을 부과하고, 처분받은 사실을 개인정보보호위원회 홈페이지에 공표하기로 하였다.

  개인정보처리자는 처리 중인 개인정보가 유출되지 않도록 개인정보처리시스템에 대해 인가받은 자만 접속을 허용하는 등 접근통제 조치가 필수적이며, 

  크리덴셜 스터핑 공격을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 지한구(02-2100-3123), 허재형(02-2100-3129)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”