`해피포인트 운영사` 섹타나인, 개인정보 유출사고에 과징금 14억원

실시간
뉴스

보안

'해피포인트 운영사' 섹타나인, 개인정보 유출사고에 과징금 14억원

디지털데일리 발행일 2025-02-13 12:00:00

김보민 기자

URL복사

최장혁 개인정보보호위원회 부위원장이 12일 서울 종로구 정부서울청사에서 2025년 제3회 전체회의를 열고 의사봉을 두드리고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 해피포인트 멤버십 서비스를 운영하는 섹타나인이 개인정보 유출사고로 14억원대 과징금을 부과받았다.

개인정보보호위원회(이하 개인정보위)는 전날 전체회의를 열고 섹타나인에 대해 과징금 14억7700만원과 과태료 720만원을 부과하기로 의결했다고 13일 밝혔다. 섹타나인은 파리바게트, 베스킨라빈스 등 23개 브랜드 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하는 곳이다.

개인정보위에 따르면 신원 미상의 해커는 2022년 10월5일부터 11일까지 섹타나인이 운영 중인 해피포인트 앱에 '크리덴셜 스터핑' 공격을 시도해 로그인에 성공했다. 크리덴셜 스터핑은 사전에 확보한 아이디, 비밀번호 정보를 무차별 대입해 로그인을 시도하는 기법이다.

해커는 서버에서 로그인 응답값을 이용자에게 회신하는 응용프로그램인터페이스(API)를 활용해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다. 이후 일부 이용자 해피포인트가 무단으로 사용되는 2차 피해가 발생했다.

추가 유출도 확인됐다. 개인정보위에 따르면 해커는 지난 2023년 10월30일부터 11월3일까지 동일한 방식으로 해킹 공격을 시도했고, 이로 인해 9762명의 개인정보가 추가 유출됐다.

섹타나인은 동일 인터넷프로토콜(IP) 주소에서 대규모 로그인 시도가 발생했지만 이를 탐지하거나 차단할 수 있는 대책을 마련하지 않았고, API 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치가 미흡한 것으로 나타났다. 최초 유출 사고 이후 재발 방지 대책을 강화하지 않아, 동일한 유출 사고가 발생한 것 또한 이번 의결에 영향을 끼쳤다.

개인정보위는 2022년 발생한 사고의 경우 유출 통지와 신고가 제때 이뤄졌지만, 2023년 사고의 경우 사안을 인지한 시점부터 사유 없이 72시간을 경과해 통지 및 신고가 이뤄진 점도 확인했다고 설명했다.

한편 개인정보위는 섹타나인 사업자 홈페이지에 처분을 받은 사실을 공표하도록 명령했다.