[더파워 이설아 기자] 개인정보 유출 공격이 급증하는 가운데, 대규모 크리덴셜 스터핑 공격에 제대로 대응하지 못한 티머니가 행정 제재를 받았다. 개인정보보호위원회는 29일 티머니가 개인정보 보호를 위한 기술적·관리적 조치를 다하지 않아 5억3400만원의 과징금을 부과하고, 홈페이지 공표와 재발 방지 대책 수립을 명령했다고 밝혔다.
개인정보위 조사에 따르면, 신원 미상의 해커는 지난해 3월13일부터 25일까지 13일 동안 ‘티머니 카드&페이’ 웹사이트를 대상으로 크리덴셜 스터핑 방식의 공격을 시도했다. 국내·외 9647개 IP를 동원해 1초당 최대 131회, 1분당 최대 5265회에 이르는 로그인 시도를 반복했고, 이 기간 로그인 시도 건수는 평시 대비 68배 수준으로 급증한 것으로 나타났다.
이 과정에서 1226만회가 넘는 로그인 시도 중 5만1691명의 계정에서 로그인이 성공해 이름, 이메일 주소, 휴대전화 번호, 주소 등 개인정보가 포함된 화면에 접근이 이뤄졌다. 특히 해커는 이 가운데 4131명 계정의 잔여 T마일리지 약 1400만원 상당을 ‘선물하기’ 기능을 통해 빼내는 2차 피해까지 발생시킨 것으로 확인됐다.
개인정보위는 이 같은 피해가 발생한 배경으로 티머니가 반복 로그인, 실패율 급증 등 비정상 접속 징후를 실시간 탐지·차단하지 못한 점을 지적했다. 특정 IP에서 대량 로그인 시도가 이어졌음에도 침입 탐지와 차단, 이상행위 대응 체계를 제대로 가동하지 못해 개인정보 유출과 마일리지 탈취로 이어졌다는 판단이다.
개인정보위는 티머니에 과징금과 공표 명령과 함께, 이상행위 탐지·차단 강화, 개인정보 노출 화면의 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 도입 등 구체적 재발 방지 대책을 마련해 시행할 것을 시정명령으로 부과했다. 아울러 크리덴셜 스터핑 공격이 잦아지는 만큼 유사 서비스를 운영하는 사업자 전반에 대해 로그인 보안과 모니터링 체계를 재점검할 것을 당부했다.
