78만여건의 개인정보 유출사고가 발생한 인터파크가 10억원 이상 과징금을 부과 받는다. 118만여건의 개인정보 유출이 발생한 명품 온라인 쇼핑몰 리본즈, 28만여건의 개인정보 유출이 발생한 증권 정보업체 팍스넷도 제재 대상이 됐다.
개인정보보호위원회는 14일 전체회의를 열어 인터파크 등 3개사에 총 12억3330만원의 과징금과 1880만원의 과태료 등 처분을 내렸다.
인터파크는 해커에 의해 크리덴셜 스터핑 공격을 받았다. 크리덴셜 스터핑 공격이란 어디선가에서 유출된 로그인 정보를 다른 계정에 무작위로 대입해 로그인에 성공한 후 타인의 개인정보를 빼내는 수법을 일컫는다.
개인정보위는 인터파크가 동일한 IP(인터넷주소)를 통해 하루 200만건 이상 대규모로 접속을 시도하는 등 비정상적 접속 시도에 대응할 수 있는 차단 정책을 적용하지 않아 78만4920건의 개인정보 유출이 발생했다고 보고 10억2645만원의 과징금과 360만원의 과태료, 시정명령 등 제재를 부과했다.
명품 온라인 쇼핑몰 업체 리본즈는 AWS(아마존웹서비스)를 사용해 개인정보 처리 시스템을 구성·운영하던 곳이었다. 그런데 리본즈는 AWS 내 개발서버 접근 권한을 IP 주소 등으로 제한하지 않았고 해커가 AWS 개발서버에 접속할 수 있는 계정정보를 이용해 이용자 개인정보 118만3325건을 빼냈다. 리본즈는 1억7201만원의 과징금과 420만원의 과태료, 시정명령 처분을 받았다.
팍스넷 역시 해커의 크리덴셜 스터핑 공격을 받아 28만4054건의 개인정보가 유출됐다. 팍스넷은 개인정보 유출 신고와 유출 통지를 지연한 사실도 확인돼 3484만원의 과징금과 1100만원의 과태료 처분을 부과받았다.
남석 개인정보위 조사조정국장은 "최근 해킹과 같은 불법적인 접근으로 인한 개인정보 유출 사고가 빈번하게 발생하고 있다"며 "이용자의 개인정보를 처리하는 사업자는 언제든지 해킹 공격 등으로 개인정보 유출 피해가 발생할 수 있다는 점을 인식해 접근통제 등 안전조치 의무사항을 자주 점검해 미흡한 부분은 개선하고, 유출 사고가 발생했을 때는 신고 및 통지를 신속·적법하게 이행해야 한다"고 했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]