- 1년 간격으로 두 차례 크리덴셜 스터핑 공격… 안전조치 미흡으로 동일 수법 피해
- 개인정보위 “시스템 안전조치 철저히 하고 재발방지 대책 면밀히 수립해야”
SPC그룹의 IT 서비스·마케팅 계열사인 섹타나인이 개인정보보호법 위반으로 14억 8420만 원의 과징금과 과태료를 부과받았다.
개인정보보호위원회는 12일 제3회 전체회의를 열고 섹타나인에 대해 이같은 처분을 의결했다고 13일 밝혔다. 섹타나인은 파리바게트, 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스를 운영하는 회사로, 2022년 10월과 2023년 10월 두 차례에 걸쳐 개인정보 유출 사고가 발생했다.
개인정보위 조사 결과, 신원 미상의 해커가 ‘크리덴셜 스터핑’ 공격을 통해 해피포인트 앱에 로그인해 총 17,347명의 개인정보를 탈취한 것으로 확인됐다. 크리덴셜 스터핑은 사전에 확보한 다수의 아이디와 비밀번호를 무차별 대입하여 로그인을 시도하는 해킹 기법이다.
해커는 이 방식으로 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등의 정보를 빼냈으며, 일부 이용자의 해피포인트가 무단 사용되는 2차 피해도 발생했다. 개인정보위는 섹타나인이 대규모 로그인 시도를 탐지·차단할 수 있는 대책을 마련하지 않았고, API 응답값에 포함된 개인정보에 대한 암호화 조치를 소홀히 한 점을 지적했다.
특히 1차 유출 사고 이후에도 충분한 재발방지 대책을 마련하지 않아 동일한 방식의 2차 유출 사고가 발생한 것에 대해 엄중히 처벌했다. 이에 따라 개인정보위는 섹타나인에 14억 7700만 원의 과징금과 720만 원의 과태료를 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다. 개인정보위 관계자는 “개인정보를 처리하는 사업자는 운영 중인 시스템에 대한 안전조치를 철저히 하고, 사고 발생 시 재발방지 대책을 면밀히 수립하여 유출사고가 재발하지 않도록 각별한 노력을 기울여야 한다”고 강조했다.
