個人情報保護委員会が大規模な個人情報流出事故を起こしたTmoneyに対し、5億3,000万ウォンの課徴金を科した。ショッピングモール用ソリューションのセキュリティ管理が不十分だったNHNコマースにも課徴金と過料が併せて科された。
個人情報保護委は29日、個人情報保護のための安全措置義務を怠ったTmoneyに課徴金5億3,000万ウォンを科し、課徴金の賦課事実をホームページに公表するよう命じたと明らかにした。再発防止対策の策定と履行を求める是正命令も併せて出した。
調査の結果、昨年3月にハッカーが「Tmoneyカード&ペイ」ウェブサイトに対してクレデンシャルスタッフィング攻撃を仕掛け、5万1,691人の氏名、メールアドレス、携帯電話番号、住所などの個人情報が流出した。攻撃期間中のログイン試行は平時に比べて68倍に増加し、国内外9,647個のIPから1,200万回を超えるログインが試行された。
この過程で4,131人のアカウントにあるTマイレージ約1,400万ウォンもギフト機能を通じて奪取された。個人情報保護委は、Tmoneyが大量のログイン試行などの異常兆候を把握しながら、侵入の検知・遮断措置を適切に講じなかったと判断した。
個人情報保護委はまた、ショッピングモール用ソリューションのセキュリティ管理の不備により個人情報流出事故を発生させたNHNコマースに、課徴金870万ウォンと過料450万ウォンを科した。NHNコマースが提供していた旧型ソリューション「eナム」においてSQLインジェクション攻撃が発生し、17のショッピングモールで注文者の個人情報122件が流出したことが判明した。
NHNコマースは流出事実を当局には届け出たが、被害を受けた利用事業者に対して適時に通知しなかった点も制裁事由として認定された。