[뉴스토마토 신상민 기자] 개인정보보호위원회(개인정보위)는 개인정보 보호 법규를 위반한 KT 자회사인 KT알파와 클래스유에 대해 총 5851만원의 과징금 및 1410만원의 과태료를 부과했다고 10일 밝혔습니다.
개인정보위에 따르면 취미·기술 등의 분야에서 온라인 강의 서비스를 운영하는 클래스유는 신원 미상 해커가 지난 2023년 8월1일부터 지난해 7월25일까지 회사 데이터베이스 관리자 계정을 통해 이용자 약 160만명의 개인정보를 유출했습니다.
조사 결과 클래스유는 개인정보처리시스템 접근 권한을 아이피(IP) 주소 등으로 제한하지 않았습니다. 또한 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유했습니다. 특히 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장하지 않았습니다.
개인정보위는 클래스유가 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 통지한 사실을 지적했습니다.
다만 개인정보위는 위반행위자의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대해 감경 규정을 적용해 과징금 5360만원과 과태료 720만원을 부과했습니다.
개보위는 해커가 2023년 1월 말부터 2월 초까지 모바일 상품권 판매 웹사이트 로그인 페이지에 크리덴셜 스터핑(사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 접속을 시도하는 공격 방식) 공격을 시도해 회원 개인 정보가 유출된 KT알파에 대해 과징금 491만원과 과태료 690만원을 부과했습니다.
개인정보위 조사 결과 해커는 ‘기프티쇼’ 웹사이트에 4305개의 IP 주소를 사용해 총 540만번 이상 대규모로 로그인을 시도해 약 9만8000명의 회원 계정으로 로그인에 성공했습니다.
또한 51명의 계정으로 개인정보가 포함된 웹페이지에 접근하여 회원 개인정보를 열람함과 동시에, 포인트를 무단 사용하는 등 2차 피해가 발생했습니다.
개인정보위는 안전조치의무를 소홀히 했으나 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치해 실제로 개인정보가 유출된 규모는 51명에 그친 것을 확인했습니다. 그러나 개인정보위는 개인정보 유출 인지 후 정당한 사유없이 24시간을 경과해 유출 통지한 사실을 지적했습니다.
개인정보위는 "크리덴셜 스터핑 공격을 예방하기 위해 이상행위에 대한 침입 탐지·차단 정책 적용 등 안전조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다"고 당부했습니다.
고학수 개인정보보호위원회 위원장이 4월 9일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제8회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.(사진=개인정보보호위원회)
신상민 기자 lmez0810@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지