송경희 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 열린 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 뉴시스

개인정보 보호를 위한 안전조치를 소홀히 해 대규모 개인정보 유출 사고를 낸 티머니에 대해 과징금 5억3400만 원이 부과됐다.

개인정보보호위원회는 29일 개인정보 보호 의무를 위반한 ㈜티머니에 과징금 5억3400만 원을 부과하고, 과징금 부과 사실을 홈페이지에 공표하도록 명령했다고 밝혔다. 아울러 재발 방지 대책을 수립해 시행하라는 시정명령도 함께 내렸다.

개인정보위에 따르면 지난해 3월 13일부터 25일까지 신원 미상의 해커가 ‘티머니 카드&페이’ 웹사이트를 대상으로 크리덴셜 스터핑 공격을 감행해 5만1691명의 개인정보가 유출됐다. 유출된 정보는 이름, 이메일 주소, 휴대전화 번호, 주소 등이다.

해커는 국내외 9647개 IP 주소를 이용해 초당 최대 131회, 분당 최대 5265회 등 총 1226만 차례 이상의 로그인을 시도했다. 공격 기간 중 일평균 로그인 시도 건수는 평시 대비 68배까지 급증한 것으로 조사됐다.

티머니 개인정보 유출사고 개요. 개인정보보호위원회 제공

이 과정에서 해커는 로그인에 성공한 계정 가운데 4131명의 계정에서 ‘선물하기’ 기능을 이용해 약 1400만 원 상당의 T마일리지를 탈취했다.

개인정보위는 티머니가 특정 IP에서 대량의 반복적인 로그인 시도가 발생하는 등 명백한 이상 징후가 있었음에도 침입 탐지·차단과 이상 행위 대응 조치를 제대로 하지 않아 개인정보 유출로 이어졌다고 판단했다.

개인정보위는 또 보안 관리 소홀로 주문자 개인정보 유출 사고를 낸 NHN커머스㈜에도 과징금 870만 원을 부과했다. 이 업체는 클라우드 방식(SaaS)으로 제공하던 쇼핑몰 솔루션 ‘e나무’의 보안 취약점을 방치해 2024년 9월 SQL 인젝션 공격으로 17개 쇼핑몰에서 122건의 개인정보 유출 사고를 냈다.

NHN커머스는 사고 이후 72시간 내 개인정보위에 유출 신고는 했지만, 피해를 입은 이용 사업자들에게는 제때 유출 사실을 통지하지 않은 것으로 조사됐다. 개인정보위는 이를 근거로 과태료 450만 원을 추가로 부과하고, 행정처분 사실을 홈페이지에 공표하도록 했다.