KT그룹 T커머스 계열사인 'KT알파'와 온라인 강의 서비스 '클래스유'가 개인정보보호법 위반으로 과징금을 부과받았다.
개인정보보호위원회는 지난 9일 서울 종로구 정부서울청사에서 제8회 전체회의를 열고, 개인정보 보호 법규를 위반한 KT알파와 클래스유 등 2개 사업자에 대해 총 5851만원의 과징금과 1410만원의 과태료를 부과하고, 공표 및 공표명령을 의결했다.
먼저 KT알파는 '크리덴셜 스터핑'(Credential Stuffing) 공격을 당해 회원 개인정보를 유출했다. 크리덴셜 스터핑은 사전에 확보한 아이디(ID)·비밀번호 정보를 무차별 대입해 접속(로그인)을 시도하는 공격 방식이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 게 특징이다.
해커는 지난 2023년 1월 28일부터 2월 6일까지 KT알파가 운영 중인 기프티쇼 웹사이트에 4305개의 아이피(IP) 주소를 사용해 총 540만번 이상의 로그인을 시도했다. 이 가운데 약 9만8000명의 회원 계정으로 로그인에 성공했다. 특히 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람하고 포인트를 무단 사용하는 등 2차 피해가 발생했다.
조사 결과, KT알파는 크리덴셜 스터핑 공격과 같은 비정상적인 접속 시도 발생 시, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했다. 또 개인정보 유출 통지도 지연했다.
다만, 케이티알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치로 개인정보가 유출된 규모는 51명에 그쳤다.
이에 개인정보위는 KT알파에 과징금 491만원과 과태료 690만원을 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.
클래스유는 이용자 약 160만명의 개인정보를 유출한 사실이 드러나, 과징금 5360만원과 과태료 720만원 부과와 함께 시정명령 및 공표명령 처분을 받았다.
구체적으로 해커가 알 수 없는 방법을 통해 획득한 데이터베이스(DB) 관리자 계정을 통해 2023년 8월 1일부터 2024년 7월 25일까지 클래스유 DB에 접속해 약 160만명의 개인정보를 빼갔다.
조사 결과, 클래스유는 접근권한 제한 등 다수의 안전조치 의무를 위반했다. 또 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관했으며, 개인정보 유출 통지도 지연했다.
다만, 개인정보위는 위반행위자의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다.
조재학 기자 2jh@etnews.com
