교통카드 서비스인 티머니가 보안 관리 소홀로 인해 대규모 해킹을 허용하면서 수만 명의 개인정보가 유출되고 금전 피해까지 발생했다.

개인정보보호위원회는 29일 전체회의를 열고 개인정보 보호 안전조치 의무를 소홀히 한 ㈜티머니에 대해 과징금 5억3400만 원 부과와 함께 재발 방지 대책 수립 및 공표 명령을 결정했다.

조사 결과에 따르면 지난해 3월 중순 약 12일간 신원 미상의 해커가 '티머니 카드&페이' 웹사이트를 대상으로 '크리덴셜 스터핑' 공격을 감행했다. 크리덴셜 스터핑은 사전에 탈취한 타 사이트의 계정 정보를 무차별적으로 대입해 로그인을 시도하는 방식이다. 해커는 전 세계 수천 개의 IP 주소를 동원해 총 1226만 차례가 넘는 로그인을 시도했으며, 이 과정에서 5만1691명의 회원 계정 로그인에 성공해 이름, 이메일, 휴대전화 번호 등 민감한 개인정보를 탈취했다.

특히 이번 사고는 단순한 정보 유출을 넘어 실제 금전적 피해로 이어졌다. 해커는 로그인에 성공한 계정 중 4131명으로부터 약 1400만 원 상당의 'T마일리지'를 선물하기 기능을 이용해 빼돌렸다. 당시 티머니 웹사이트에는 평상시보다 68배나 많은 로그인이 시도되는 등 뚜렷한 이상 징후가 나타났으나, 티머니 측은 침입 탐지 및 차단 등 적절한 보안 조치를 취하지 않았던 것으로 드러났다.

개인정보위는 이날 회의에서 티머니 외에도 보안 관리가 미흡했던 NHN커머스와 한국연구재단에 대해서도 엄중한 처분을 내렸다.

NHN커머스는 10년이 지난 구형 솔루션의 보안 관리를 소홀히 해 주문자 개인정보를 유출시킨 책임으로 과징금과 과태료를 부과받았다. 특히 사고 이후 피해 사업자들에게 유출 사실을 제때 알리지 않은 점이 문제가 되었다. 12만 명의 정보를 유출한 한국연구재단 역시 10년 넘게 시스템 취약점을 방치해온 점이 지적되어 7억 원대의 과징금 처분을 받았다.

개인정보위 관계자는 "최근 크리덴셜 스터핑 공격이 빈번한 만큼 비정상 접속 등 이상 행위에 대한 상시 모니터링과 보안 점검을 강화해야 한다"며 "개인정보가 포함된 페이지에 접근할 때는 추가 인증을 적용하는 등 선제적인 보안 대책이 필수적"이라고 강조했다.