개인정보보호위원회는 5만명 이상 개인정보를 유출한 티머니에 과징금을 부과하기로 의결했다.
29일 개인정보보호위원회는 전날 전체회의를 열고 개인정보보호법을 위반한 티머니에 과징금 총 5억3400만원을 부과하기로 의결했다고 밝혔다.
개인정보위에 따르면 신원 미상 해커는 2025년 3월13일부터 25일까지 '크리덴셜 스터핑' 공격 방법으로 티머니 카드&페이 웹사이트에 침입했다. 이로 인해 5만1691명 개인정보가 유출됐다.
크리덴셜 스터핑은 해커가 계정과 비밀번호 정보를 사전에 취득한 후 다른 사이트에서 이를 사용해 성공할 때까지 로그인을 시도하는 공격이다. 로그인 시도 횟수와 실패율이 급증하는 특징을 보인다.
개인정보위는 해당 기간 동안 해커가 티머니 카드&페이 웹사이트에 국내외 9000여개 인터넷프로토콜(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회 대규모 로그인을 시도했다고 설명했다. 이 가운데 5만여명 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근했다.
해커는 로그인에 성공한 계정 중 4131명 계정에서 잔여 'T마일리지' 약 1400만원을 선물하기 기능으로 탈취했다.
개인정보위는 티머니가 특정 IP 주소에서 대량 로그인 시도가 발생했음에도 이에 대한 침입 탐지와 차단 대응을 소홀히 했다고 지적했다. 과징금 외 홈페이지 공표와 재발방지 대책도 이행하도록 명했다.
장지민 한경닷컴 객원기자 newsinfo@hankyung.com