계정 정보 무작위 대입 '크리던션 스터핑 공격' 대응 소홀
[증권경제신문=노지훈 기자] 인터파크와 팍스넷 등 개인정보 유출 및 소홀을 위반해 과징금 철퇴를 맞았다.
14일 개인정보보호위원회는 전체회의를 열고 개인정보보호에 필요한 안전조치를 소홀히 하거나, 개인정보 유출통지·신고를 지연해 개인정보보호 법규를 위반한 8개 사업자에게 과징금과 과태료를 부과하기로 의결했다.
개인정보위에 따르면 인터파크(대표 최휘영)는 여행·쇼핑 등 분야 온라인 중개플랫폼(인터파크)을 운영하면서, 해커가 앱 서비스에 크리덴셜 스터핑 공격을 받았다.
다만 동일한 아이피(IP) 주소에서 대규모로 접속(로그인)을 시도하는 경우와 같이 비정상적인 접속(로그인) 시도에 대응할 수 있는 차단 정책을 적용하지 않아 이용자의 개인정보 78만4920건을 유출했다. 이에 개인정보위는 10억2645만원의 과징금, 360만원의 과태료, 시정명령 등의 제재 처분을 부과했다.
증권정보 제공 사이트를 운영하는 팍스넷(대표 고성웅) 역시 해커의 크리덴셜 스터핑 공격으로 이용자의 개인정보 28만4054건을 유출했고, 개인정보 유출신고와 유출통지를 지연한 사실도 확인돼 3484만원의 과징금, 1100만원의 과태료를 부과 받았다.
이외에도 온라인쇼핑몰(리본즈)을 운영하는 리본즈 역시 개인정보 소홀로 118만건을 유출해 과징금 1억7201만원의 과징금, 420만원의 과태료, 시정명령 등의 제재 처분을 받았다.
또 이날 드림어스컴퍼니는 개인정보보호법 위반으로 과징금 3억7895만원, 고시아카데미 4720만원을 함께 부과 받았고, 이외 드림어스컴퍼니(600만원), 고시아카데미(1080만원), 무신사(1080만원), 빌박닷컴(660만원), 리니칼코리아(200만원) 등이 과태료 처분을 받았다.
한편 같은 날 개인정보위 한 관계자는 "해킹과 같은 불법적인 접근으로 인한 개인정보 유출 사고가 빈번하게 발생하고 있다"며 "(사업자들은) 안전조치 의무사항을 자주 점검해 미흡한 부분은 개선하고, 유출 사고가 발생했을 때는 신고 및 통지를 신속·적법하게 이행해야 한다"고 지적했다.