해킹으로 개인정보 유출…SK스토아·동행복권 19억 과징금

과태료 780만 원·공표 명령

"최근 해킹 잦아…주의 필요"

사진 제공=SK스토아

개인정보보호위원회가 해킹으로 개인정보가 유출됐다며 SK스토아와 동행복권에 대해 약 19억 원의 과징금·과태료를 부과했다.

개인정보위는 22일 제2회 전체회의를 열고 이 같이 의결했다고 23일 밝혔다. 개인정보위는 SK스토아에 과징금 14억 3200만 원과 300만 원의 과태료를, 동행복권에 5억 300만 원과 480만 원의 과태료를 부과했다. 또한 두 기업 모두 사용자들에게 개인정보위의 처분 사실을 알리도록 처분했다.

우선 개인정보위 조사 결과 2023년 11월 온라인 쇼핑몰인 ‘SK스토아’ 웹사이트에서 12만 5000여명의 개인정보가 유출된 것으로 파악됐다. 해커는 SK스토아 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만 번 이상 대규모로 로그인을 시도했고, 이 중 12만 5000여 개의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.

이를 두고 개인정보위는 SK스토아가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위대응 등 안전조치의무를 소홀히 했기 때문이라고 분석했다.

유출 사고 발생 이후 SK스토아는 비정상적인 로그인 시도에 대한 보안 정책을 적용·강화하는 등 위반사항을 시정하고 향후 유사 피해가 재발하지 않도록 조치를 취했다.

사진 제공=동행복권

동시에 개인정보위 조사 결과 2023년 11월 복권 통합 포털인 ‘동행복권’ 웹사이트에서 해킹이 발생했다. 해커는 동행복권 웹사이트의 회원 아이디(ID) 목록을 사전에 확보하고, 회원 비밀번호 변경 기능에 존재하는 보안 취약점을 악용해 다른 계정의 비밀번호를 임의 변경한 후 로그인에 성공했다. 동행복권 웹사이트는 비밀번호 변경 페이지에서 인증받은 아이디가 아닌 다른 아이디로 입력을 조작하면 조작한 아이디의 비밀번호가 변경되는 취약점이 있었다. 해커는 이와 같은 방법으로 약 75만 명의 개인정보를 유출했다.

개인정보는 이 같은 사고가 발생한 원인으로 동행복권이 ‘비밀번호 변경 기능’ 설계·구현 시 이용자 인증 관련 취약점에 대해 점검·개선 조치를 소홀히 했다고 봤다. 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치가 미흡했다는 분석이다.

동행복권은 유출사고 발생을 인지한 즉시 누리집을 임시 폐쇄하고, 계정 비밀번호 초기화 및 취약한 소스코드 수정 등 위반사항을 시정했다. 또한 향후 유사 피해가 재발하지 않도록 비정상적인 접속시도에 대한 탐지·차단을강화하는 등의 조치도 취했다.

개인정보위는 “최근 해킹공격이 빈번하게 발생하는만큼 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고, 이용자 인증 관련 취약점 점검 등에도 각별한 주의를 기울일 것”을 당부했다.