중국·미국 IP로 무차별 공격…SK스토아에 과징금 14.3억원 부과

실시간
뉴스

보안

중국·미국 IP로 무차별 공격…SK스토아에 과징금 14.3억원 부과

디지털데일리 발행일 2025-01-23 12:00:00

김보민 기자

URL복사

이정은 개인정보보호위원회 조사2과장이 23일 서울 종로구 정부서울청사에서 SK스토아와 동행복권의 안전조치 의무 위반 사항에 대해 설명하고 있다.

[디지털데일리 김보민기자] 안전조치 의무를 위반한 SK스토아에게 14억원대 과징금이 부과됐다. '크리덴셜 스터핑(Credential Stuffing)' 공격이 가해져 12만명 이상의 개인정보가 유출된 가운데, 사전에 보안 체계를 고도화하지 않은 점이 이유로 꼽혔다.

개인정보보호위원회(이하 개인정보위)는 제2회 전체회의를 열고 개인정보보호법을 위반한 SK스토아에 과징금 14억3200만원과 과태료 300만원을 부과했다고 23일 밝혔다.

개인정보위에 따르면, SK스토아는 온라인 쇼핑몰 'SK스토아' 웹사이트에 해커가 크리덴셜 스터핑 공격 방법으로 침입해 12만5000여명의 개인정보가 유출되는 사고를 겪었다. 크리덴셜 스터핑은 위협 행위자가 계정, 비밀번호 정보를 취득한 후 다른 사이트에서 로그인을 시도하는 대입 공격이다. 해당 공격은 2023년 11월14일부터 21일까지 지속됐다.

이정은 개인정보위 조사2과장은 이날 브리핑을 통해 "이 기간 동안 해커는 SK스토아 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만번 이상 대규모 로그인을 시도했다"며 "이 가운데 12만5000여개 회원 계정으로 로그인에 성공했고, 개인정보가 포함된 웹페이지에 접근했다"고 설명했다. 해외 IP는 중국과 미국에서 들어온 것으로 확인됐다.

개인정보위는 SK스토아가 비정상적인 접근 시도를 탐지하고 차단하는 대책을 마련하지 않았고, 안전조치를 소홀히 했다고 판단했다. 이 과장은 "SK스토아 일부 웹페이지에서 이용자 비밀번호가 암호화되지 않고 송수신된 사실도 추가적으로 확인했다"고 부연했다.

개인정보위는 과징금 및 과태료와 더불어, 사업자 홈페이지에 관련 사실을 공표하도록 명령했다. 개인정보위에 따르면 SK스토아는 보안 정책을 강화해 위반사항을 시정했다. 이용자 대상 계정 초기화, 기존 로그인 방식 변경 등 조치도 취한 것으로 확인됐다.

한편 개인정보위는 동행복권을 대상으로도 과징금 5억300만원과 과태료 480만원을 부과했다. 2023년 11월 4일부터 5일까지 해커가 복권 통합 포털 '동행복권' 웹사이트 회원 아이디(ID) 목록을 확보하고, 회원 비밀번호 변경 취약점을 악용해 로그인에 성공한 점을 포착했다는 취지였다. 다른 계정의 비밀번호를 임의 변경한 후 로그인에 성공했는데, 이로 인해 유출된 개인정보는 약 75만명 규모였다.

SK스토아와 동행복권을 대상으로 위협을 가한 해커는 '신원 미상'으로 남아 있다. 이 과장은 관련 질문에 대해 "해커에 대해서는 특정할 수 없었다"고 답했다.