고학수 개인정보보호위원회 위원장이 9일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제8회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

개인정보보호위원회가 9일 제8회 전체회의를 열고, 클래스유와 KT알파에 총 5851만 원의 과징금 및 1410만 원의 과태료를 부과하고, 공표 및 공표명령을 의결했다. 이들 사업자는 해킹으로 개인정보가 유출되는 과정에서 다수의 안전조치 의무를 어겨 관련법을 위반했다.

먼저 클래스유는 과징금 5360만 원과 과태료 720만 원 부과받았다. 해커는 2023년 8월부터 1일부터 2024년 7월 25일까지 클래스유의 데이터베이스(DB)에 접속해 이용자 약 160만 명의 개인정보를 유출했다.

개인정보위는 관리자 계정 탈취 경로는 확인되지 않았으나, 클래스유의 개인정보취급자가 DB 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영했던 사실이 확인돼 해당 경로로 유출된 것으로 추정된다고 설명했다.

클래스유는 개인정보처리시스템(DB)에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았으며, 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다. 또한 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다. 아울러, 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간을 경과해 유출 통지한 사실도 확인했다.

개인정보위는 위반행위자의 재무상황 등 현실적인 부담능력을 고려해 과징금 부과액에 대해 감경 규정을 적용했다고 밝혔다.

케이티알파는 과징금 491만 원과 과태료 690만 원 부과 받았다. 케이티알파는 2023년 1월 28일부터 2월 6일까지 크리덴셜 스터핑 공격을 받아 개인정보 유출 피해를 입었다.

개인정보위 조사 결과에 따르면, 해당 기간 해커는 ‘기프티쇼’ 웹사이트에 4305개의 아이피(IP) 주소를 사용해 총 540만 번 이상 대규모로 로그인을 시도했고, 약 9만 8000 명의 회원 계정으로 로그인에 성공했다. 이 중 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람함과 동시에, 포인트를 무단 사용하는 등 2차 피해도 야기했다.

이는, 케이티알파가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했기 때문이다. 또 조사 과정에서 케이티알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과하여 유출 통지한 사실이 확인됐다.

다만, 해커가 약 9만 8000명의 회원 계정으로 로그인에는 성공했으나 케이티알파가 다수의 웹페이지 내 개인정보 마스킹 조치 등 사전 조치를 하였기 때문에 실제로 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다.

개인정보위는 이상 행위에 대한 침입 탐지·차단 정책 적용 등 안전 조치도 중요하지만, 개인정보가 포함된 웹페이지에 대한 마스킹 정책 등을 적용하는 것도 개인정보 유출 피해를 줄이는 데에 큰 도움이 될 수 있다고 당부했다.

[이투데이/안유리 기자 (inglass@etoday.co.kr)]

▶프리미엄 경제신문 이투데이 ▶비즈엔터

이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지