모바일 티머니 화면. [티머니 홈페이지 캡처]

[헤럴드경제=나은정 기자] 개인정보보호위원회가 대규모 개인정보 유출 사고를 낸 ㈜티머니에 대해 과징금 5억3400만원을 부과하고, 행정처분 사실을 홈페이지에 공표하도록 명령했다. 아울러 재발 방지를 위한 구체적인 안전조치 대책을 수립·시행하라는 시정명령도 내렸다.

29일 개인정보위에 따르면 지난해 3월 13일부터 25일까지 신원 미상의 해커가 ‘티머니 카드&페이’ 웹사이트를 ‘크리덴셜 스터핑’ 방식의 해킹 공격을 벌였다. 이로 인해 5만1691명의 이름과 이메일 주소, 휴대전화 번호, 주소 등 개인정보가 유출됐다.

크리덴셜 스터핑 해킹은 이미 유출된 계정·비밀번호 조합을 이용해 다른 사이트에 무차별 로그인을 시도하는 공격 방식으로, 로그인 시도 횟수와 로그인 실패율이 급증하는 특징을 보인다.

해커는 국내외 9647개 IP 주소를 활용해 1초당 최대 131회, 1분당 최대 5265회 등 모두 1226만 차례 이상 ‘티머니 카드&페이’ 웹사이트에 로그인을 시도했다. 공격 기간 중 일평균 로그인 시도 건수는 평시 대비 68배나 급증했다.

이 가운데 5만1691명의 회원 계정에 로그인을 성공, 개인정보가 포함된 웹페이지에 접근해 4131명의 계정에서 잔여 ‘T마일리지’ 약 1400만원을 선물하기 기능으로 탈취한 것으로 조사됐다.

티머니는 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했는데도 이에 대한 침입 탐지·차단 조치나 이상 행위 대응을 제대로 하지 않았다고 판단했다.

한편 개인정보위는 지난해 6월 온라인논문투고시스템(JAMS) 해킹으로 12만명의 개인정보 유출 피해가 발생한 한국연구재단에도 7억300만원의 과징금을 부과했다. 쇼핑몰 내 구형 설루션에 대한 기술지원 등을 소홀히 해 쇼핑몰 사업자 홈페이지에서 해킹으로 주문자들의 개인정보 유출을 초래한 NHN커머스㈜ 역시 과징금 870만원이 부과됐다.