(서울=뉴스1) 이기림 기자 = 온라인 강의 플랫폼 '클래스유'와 디지털 커머스 기업 'KT알파'가 개인정보보호법을 위반해 총 5851만 원의 과징금과 1410만 원의 과태료를 부과받았다.
개인정보보호위원회는 지난 9일 제8회 전체회의를 열고 이 같은 '과징금·과태료 부과와 공표 및 공표명령'을 의결했다고 10일 밝혔다.
클래스유는 해커에 의해 2023년 8월 1일부터 2024년 7월 25일까지 약 160만 명의 이용자 개인정보가 유출됐다.
해커는 이 기간 알 수 없는 방법으로 획득한 데이터베이스(DB) 관리자 계정을 통해 클래스유 DB에 접속해 개인정보를 유출했다.
조사 결과, 클래스유는 다수의 안전조치 의무를 위반한 것으로 밝혀졌다.
우선 개인정보처리시스템에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았으며 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다.
이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다. 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실도 있었다.
개인정보 유출 인지 후 정당한 사유 없이 72시간이 지나서야 유출 통지를 한 사실도 발견됐다.
개인정보위는 그러나 위반행위자의 재무상황 등 현실적인 부담 능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다.
이에 따라 개인정보위는 클래스유에 과징금 5360만 원과 과태료 720만 원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.
아울러 보안 취약점 점검·조치 등 구체적인 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령했다.
KT알파는 모바일 상품권 판매 사이트인 기프티쇼의 로그인 페이지에 해커가 크리덴셜 스터핑(유출된 사용자의 계정 정보로 여러 사이트에 무작위로 로그인을 시도하는 공격)을 시도해 기프티쇼 회원 개인정보가 유출됐다.
조사 결과 해커는 2023년 1월 28일부터 2월 6일까지 기프티쇼 웹사이트에 4305개의 IP 주소를 사용해 총 540만 번 이상 대규모로 로그인을 시도했다. 이를 통해 약 9만 8000명의 회원 계정으로 로그인에 성공했다.
이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람함과 동시에, 포인트를 무단 사용하는 등 2차 피해도 야기시켰다.
이는 KT알파가 안전조치 의무를 소홀히 했기 때문으로 밝혀졌다.
특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등이 부족했다는 것이다.
다만 해커가 약 9만 8000명의 회원 계정으로 로그인에는 성공했으나 KT알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 했기 때문에 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다.
조사 과정에서 KT알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 지나 유출 통지를 한 사실까지 확인됐다.
개인정보위는 KT알파에 과징금 491만 원과 과태료 690만 원을 부과하고 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.
lgirim@news1.kr