- 클래스유·케이티알파, 개인정보 유출 사고로 총 7,261만 원 제재
- 접근 통제·침입 탐지 미흡 지적… 개인정보 보호 강화 방안 요구
개인정보보호위원회(이하 개인정보위)는 4월 9일 열린 제8회 전체회의에서 개인정보 보호 법규를 위반한 두 개 사업자에 대해 총 5,851만 원의 과징금과 1,410만 원의 과태료를 부과하고, 공표 명령 및 시정 명령을 의결했다. 이번 제재 대상은 온라인 강의 플랫폼을 운영하는 ㈜클래스유와 모바일 상품권 서비스 ‘기프티쇼’를 운영하는 ㈜케이티알파다.
조사 결과, 클래스유는 약 160만 명의 이용자 개인정보가 유출되는 사고를 겪었다. 해커가 획득한 데이터베이스(DB) 관리자 계정을 통해 약 1년간 DB에 접근한 것으로 드러났다. 특히 클래스유는 접근권한 제한 조치를 소홀히 했으며, 다수의 개인정보취급자가 하나의 관리자 계정을 공유하고 있었다. 또한 주민등록번호와 계좌번호를 암호화하지 않고 저장한 점도 확인됐다. 처리 목적이 끝난 신분증 사본을 파기하지 않고 보관하거나, 유출 사실을 인지한 후 72시간 이내 통지 의무를 이행하지 않은 점도 문제로 지적됐다.
케이티알파는 해커가 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 약 9만 8천 개 계정에 로그인하고, 이 중 51명의 개인정보를 열람한 사건이 발생했다. 해커는 특정 계정의 포인트를 무단으로 사용하는 등 추가 피해를 야기했다. 케이티알파는 비정상적인 로그인 시도를 탐지하고 차단하는 침입 탐지·차단 정책 관리와 이상행위 대응 체계를 제대로 운영하지 않은 것으로 나타났다. 다만, 일부 웹페이지에 개인정보 마스킹 조치를 사전에 적용해 실제 유출 규모는 최소화됐다.
개인정보위는 클래스유와 케이티알파에 각각 과징금 5,360만 원과 491만 원, 과태료 720만 원과 690만 원을 부과했다. 또한 두 사업자에게 보안 취약점 점검 및 개선 계획 수립을 요구하며 이행 결과를 면밀히 점검할 방침이다.
개인정보위는 "개인정보처리자는 접근 통제 조치와 침입 탐지·차단 정책을 철저히 이행해야 한다"며 "특히 크리덴셜 스터핑 공격 예방을 위해 이상행위 탐지 시스템 도입과 개인정보 마스킹 정책 적용이 중요하다"고 강조했다. 이번 조치는 기업들에게 개인정보 보호의 중요성을 다시 한번 상기시키는 계기가 될 전망이다.
