개인정보위, 개인정보 유출 '티머니'에 과징금 5억 3,400만원 부과

- 반복적 공격 등 이상행위 대응 소홀로 2차피해 발생

- 재발방지 위한 구체적 대책 수립·시행할 것을 시정명령

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 1월 28일(수) 제2회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 ㈜티머니에 총 5억 3,400만원의 과징금을 부과하고 시정명령 및 공표 명령하기로 의결했다.

  개인정보위는 '25. 4. 11. 접수된 개인정보 유출 신고에 따라 조사한 결과, ㈜티머니가「개인정보 보호법」에 따른 안전조치 의무를 소홀히 한 것으로 확인하였으며, 구체적인 위반 내용과 처분 결과는 다음과 같다.

< 위반내용 및 처분 결과 >

  ㈜티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자로, '티머니 카드&페이' 웹사이트에 신원 미상의 해커가 '25. 3. 13. ~ 3. 25. 동안 '크리덴셜 스터핑*(Credential Stuffing)' 공격 방법으로 침입해 51,691명의 개인정보(이름, 이메일 주소, 휴대폰 번호, 주소)를 유출했다.

  * 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용하여 성공할 때까지 로그인을 시도하는 해킹 공격으로, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보임

  개인정보위 조사 결과에 따르면, 위 기간 해커는 '티머니 카드&페이' 웹사이트에 국내·외 9,647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5,265회, 총 1,226만 번 이상 대규모로 로그인을 시도*했다. 이 중 51,691명의 회원 계정으로 로그인에 성공하여 개인정보가 포함된 웹페이지에 접근한 것으로 확인되었다.

  * 공격 기간의 일평균 로그인 시도 건수는 평시 대비 68배 높은 것으로 확인됨

  이 과정에서 해커는 로그인에 성공한 계정 중 4,131명의 계정에서 잔여 'T마일리지' 약 14백만원을 선물하기 기능으로 탈취하여 추가적인 피해가 발생하였다.

  이는 ㈜티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생하였음에도, 이에 대한 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다. 

  이에 따라 개인정보위는 ㈜티머니에 5억 3,400만원의 과징금을 부과하고, 사업자 누리집(홈페이지)에 사실을 공표하도록 명령하는 한편, 구체적인 재발방지 대책을 수립·시행하도록 시정조치 명령하였다.

  개인정보위는 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부하였다. 또한, 개인정보 노출 페이지 내 개인정보 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 적용 등의 조치가 추가적인 사고 예방에 도움이 될 수 있다고 강조하였다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 지한구(02-2100-3123)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”