또 `크리덴셜 스터핑` 문제…티머니, 외부공격으로 개인정보 유출

실시간
뉴스

보안

또 '크리덴셜 스터핑' 문제…티머니, 외부공격으로 개인정보 유출

디지털데일리 발행일 2025-04-14 09:56:48

김보민 기자

URL복사

[디지털데일리 김보민기자] 최근 티머니가 외부 공격으로 사용자 개인정보를 유출하는 사고를 냈다. 사전에 수집한 계정 정보를 홈페이지에 무단 대입해 로그인을 시도하는 '크리덴셜 스터핑' 공격이 원인이었던 것으로 파악됐다.

14일 보안업계에 따르면, 티머니는 지난 12일 '개인정보 유출(의심) 관련 안내'라는 이름으로 공지문을 올렸다. 공지에 따르면, 신원 불상의 공격자는 사전 수집된 것으로 추정되는 고객 계정 정보를 이용해 티머니 홈페이지에 로그인을 시도했다. 공격자는 해외 인터넷프로토콜(IP)를 사용했다.

해커가 불법 수집한 계정 정보와 티머니 계정 정보가 상이한 고객의 경우 이번 공격의 피해를 입지 않았지만, 계정 정보가 일치하는 고객은 개인정보가 유출됐을 정황이 파악됐다. 티머니는 유출된 것으로 추정되는 개인정보로 이름과 이메일이 있고, 주소와 휴대폰번호 등 추가적으로 피해가 있을 가능성을 배제할 수 없다고 설명했다.

티머니는 "외부 공격을 확인한 즉시 관련 IP를 차단하고 비밀번호 초기화, CAPTCHA(실제 사람과 컴퓨터 프로그램을 구별하는 기술) 및 본인인증을 적용하고 모니터링을 강화하고 있다"고 말했다.

이어 공격자가 활용한 기법으로 '크리덴셜 스터핑'을 언급했다. 크리덴셜 스터핑은 여러 경로를 통해 수집한 아이디와 패스워드를 특성 사이트에 방문해 무작위 대입해 로그인 후 개인정보를 훔치는 수법이다. 올 초 개인정보 유출 사고가 발생했던 뉴스레터 서비스 스티비를 비롯해, GS리테일 등 주요 기업도 크리덴셜 스터핑 공격으로 사용자 개인정보를 유출하는 사고를 낸 바 있다.

크리덴셜 스터핑은 개인정보를 수집해가는 기본적인 방법이기 때문에, 2차·3차 피해를 배제할 수 없는 기법으로 꼽힌다. 이와 관련해 티머니는 "이를 방지하기 위해 패스워드를 주기적으로 변경하거나 사이트별로 패스워드를 다르게 설정하는 것을 권장드린다"고 부연했다.

티머니는 "예상치 못한 일이 발생한 데 대해 진심으로 사과드린다"며 "고객의 소중한 개인정보를 보호하기 위해 최선을 다하겠다"고 말했다.

한편 티머니는 크리덴셜 스터핑 공격 등을 자동 탐지할 수 있는 보안 조치가 취해졌는지 여부에 대해 확인 중이라는 입장을 표했다. 이번 개인정보 유출로 손해가 발생할 경우, 개인정보 분쟁조정위원회에 분쟁 조정을 신청할 수 있다.