개인정보보호위원회가 대규모 개인정보 유출 사고를 낸 티머니에 과징금 5억3000만원을 부과했다. 쇼핑몰 솔루션 보안 관리에 소홀했던 NHN커머스에도 과징금과 과태료가 함께 부과됐다.
개인정보위는 29일 개인정보 보호를 위한 안전조치 의무를 소홀히 한 티머니에 과징금 5억3000만원을 부과하고, 과징금 부과 사실을 홈페이지에 공표하도록 명령했다고 밝혔다. 재발 방지 대책 수립과 이행을 요구하는 시정명령도 함께 내렸다.
조사 결과 지난해 3월 해커가 '티머니 카드&페이' 웹사이트에 크리덴셜 스터핑 공격을 가해 5만1691명의 이름, 이메일, 휴대전화 번호, 주소 등 개인정보를 유출했다. 공격 기간 동안 로그인 시도는 평시 대비 68배 증가했고, 국내외 9647개 IP에서 1200만회 넘는 로그인이 시도됐다.
이 과정에서 4131명 계정의 T마일리지 약 1400만원도 선물하기 기능을 통해 탈취됐다. 개인정보위는 티머니가 대량 로그인 시도 등 이상 징후를 인지하고도 침입 탐지·차단 조치를 제대로 하지 않았다고 판단했다.
개인정보위는 또 쇼핑몰 솔루션 보안 관리 소홀로 개인정보 유출 사고가 발생한 NHN커머스에 과징금 870만원과 과태료 450만원을 부과했다. NHN커머스가 제공하던 구형 솔루션 'e나무'에서 SQL 인젝션 공격이 발생해 17개 쇼핑몰에서 주문자 개인정보 122건이 유출된 것으로 조사됐다.
NHN커머스는 유출 사실을 당국에는 신고했지만, 피해를 본 이용 사업자들에게 제때 통지하지 않은 점도 제재 사유로 인정됐다.