SPC그룹의 멤버십 서비스 '해피포인트'를 운영하는 섹타나인이 고객 개인정보 보호 조치를 소홀히 한 책임을 물어 14억7천700만원의 과징금을 부과받았다.
개인정보보호위원회는 13일 전체회의에서 개인정보보호법을 위반한 섹타나인에 대해 과징금 및 시정명령을 의결했다고 밝혔다.
조사 결과, 2022년 10월 정체불명의 해커가 해피포인트 애플리케이션을 대상으로 '크리덴셜 스터핑' 공격을 시도해 로그인에 성공했다. 크리덴셜 스터핑은 타 사이트에서 탈취한 사용자 계정정보를 무작위로 입력해 로그인하는 해킹 기법이다.
해커는 로그인 성공 후 응용프로그램 인터페이스(API) 응답 값을 활용해 7585명의 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 개인정보를 탈취했고, 일부 이용자의 포인트가 무단 사용되는 2차 피해도 발생했다.
2023년 10월에도 동일한 방식의 해킹 공격이 발생해 9천762명의 추가 개인정보가 유출됐다. 1년 사이 같은 수법으로 총 1만7천347명의 고객 정보가 해킹됐지만, 섹타나인은 적절한 보호 조치를 마련하지 않은 것으로 드러났다.
특히 짧은 시간 동안 동일 IP에서 대량의 로그인 시도가 발생할 경우 이를 탐지·차단하는 시스템을 구축하지 않았으며, API 응답 값에 포함된 개인정보를 암호화하는 등의 조치도 미흡했다.
또한, 2022년 발생한 개인정보 유출 사고의 경우, 이를 인지한 후 72시간 이내에 피해 사실을 통지·신고해야 한다는 규정을 어긴 점도 확인됐다.
이에 개인정보위는 섹타나인에 과징금 14억7천700만원과 과태료 720만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
개인정보위는 "개인정보를 처리하는 사업자는 보안 조치를 철저히 해야 하며, 사고 발생 시 재발 방지 대책을 마련해야 한다"고 강조했다.