DB 해킹으로 160만명 정보유출…클래스유 과징금 5360만원

실시간
뉴스

보안

DB 해킹으로 160만명 정보유출…클래스유 과징금 5360만원

디지털데일리 발행일 2025-04-10 12:00:00

김보민 기자

URL복사

고학수 개인정보보호위원회 위원장(사진 왼쪽)이 9일 서울 종로구 정부서울청사에서 2025년 제8회 전체회의를 열고 국민의례를 하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 데이터베이스(DB) 해킹으로 이용자 160만명의 개인정보를 유출한 '클래스유'에 5000만원대 과징금이 부과됐다. 포인트 무단 사용 등 2차 피해를 낳은 '케이티알파'에도 400만원대 과징금이 부과됐다.

개인정보보호위원회(이하 개인정보위)는 전날 제8회 전체회의를 열고 개인정보 보호 법규를 위반한 2개 사업자에 과징금 총 5851만원과 과태료 1410만원을 부과했다고 10일 밝혔다.

과징금 명단에 오른 기업은 클래스유와 케이티알파다. 클래스유는 취미·기술 등 다양한 분야의 온라인 강의 서비스를 운영하는 업체다. 케이티알파는 홈쇼핑, TV·영화 콘텐츠, 모바일 상품권 판매(기프티쇼) 등 서비스를 운영하는 곳이다.

클래스유는 과징금 5360만원과 과태료 720만원을 부과 받았다. 개인정보위에 따르면, 신원 미상의 해커는 알 수 없는 방법으로 획득한 DB 관리자 계정을 통해 클래스유 DB에 접속해 이용자 약 160만명의 개인정보를 유출했다. 접속 기간은 2023년 8월1일부터 2024년 7월25일로 확인됐다.

개인정보위는 "관리자 계정 탈취 경로는 확인되지 않았으나, 클래스유의 개인정보취급자가 DB 접속정보를 포함한 파일을 개발자 플랫폼에 공개 설정으로 저장·운영했던 사실을 확인했다"며 "해당 경로로 유출된 것으로 추정한다"고 설명했다.

조사 결과, 클래스유는 안전조치 의무를 위반한 것으로 밝혀졌다. 먼저 개인정보처리시스템에 접근할 수 있는 접근권한을 인터넷프로토콜(IP·이하 아이피) 주소 등으로 제한하지 않았고, 다수 개인정보취급자가 사유 없이 하나의 관리자 계정을 공유하고 있었다. 이용자 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 확인됐다.

이 밖에도 처리 목적을 달성한 이용자 신분증 사본을 파기하지 않고 보관한 사실과, 개인정보 유출을 인지한 후 사유 없이 72시간을 경과해 유출 통지한 사실도 확인됐다.

개인정보위는 과징금, 과태료와 별도로 사업자 홈페이지에 처분 받은 사실을 공표하도록 명령했다. 아울러 보안 취약점 점검과 조치 등 개인정보 보호 강화 계획을 수립해 이행할 것을 시정명령했다.

케이티알파의 경우 과징금 491만원과 과태료 690만원을 부과 받았다. 해커는 2023년 1월28일부터 2월6일까지 케이티알파가 운영하는 기프티쇼 웹사이트 로그인 페이지에 '크리덴셜 스터핑' 공격을 시도해, 기프티쇼 회원 개인정보를 유출했다. 크리덴셜 스터핑은 사전에 아이디와 비밀번호를 확보해 이를 무차별 대입하는 방식으로 로그인을 시도하는 기법을 뜻한다.

개인정보위에 따르면, 해당 기간 동안 해커는 기프티쇼 웹사이트에 4305개 IP주소를 사용해 총 540만번 이상 로그인을 시도했다. 그 결과 약 9만8000명의 회원 계정으로 로그인에 성공했다.

케이티알파는 특정 IP주소에서 반복 로그인이 시도되거나 비정상적인 접속 시도가 발생했을 때, 이를 탐지하고 차단하는 정책 관리와 대응 체계를 소홀히 한 것으로 나타났다. 다만 케이티알파는 다수 웹페이지 내 개인정보 마스킹 조치 등을 완료해, 실제 개인정보가 유출된 규모는 51명에 그친 것으로 확인됐다.