SK스토아㈜는 지난 2023년 11월 웹사이트가 신원 미상의 해커로부터 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 받아 12만5000명의 개인정보가 유출됐다.
크리덴셜 스터핑은 해커가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 대입 공격이다.
개인정보위에 따르면 이 기간 동안 해커는 ‘SK스토아’ 웹사이트에 국내외 14개 아이피(IP) 주소를 통해 1초당 최대 372회, 총 4400만 번 이상 대규모로 로그인을 시도했고, 이 중 12만5000여 개의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.
이는 SK스토아㈜가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응 등 안전조치의무를 소홀히했기 때문인 것으로 밝혀졌다.
조사 과정에서 ‘SK스토아’ 일부 웹페이지에서는 이용자의 비밀번호가 암호화되지 않은 평문 상태로 송·수신된 사실도 추가적으로 확인됐다.
이에 개인정보위는 SK스토아㈜에 총 14억3200만 원의 과징금과 300만 원의 과태료를 부과하고, 홈페이지에 그 사실을 공표하도록 명령했다.
㈜동행복권은 지난 2023년 11월 해커가 복권 통합포털인 ‘동행복권’ 웹사이트의 회원 아이디(ID) 목록을 사전에 확보하고, 회원 비밀번호 변경 기능에 존재하는 보안 취약점을 악용해 다른 계정의 비밀번호를 임의 변경한 후 로그인에 성공했다. 이를 통해 약 75만 명의 개인정보가 유출됐다.
동행복권 웹사이트 비밀번호 변경 페이지에서 인증받은 아이디가 아닌 다른 아이디로 입력을 조작하면 조작한 아이디의 비밀번호가 변경되는 취약점이 존재했던 거다.
이는 ㈜동행복권이 ‘비밀번호 변경 기능’ 설계·구현 시 이용자 인증 관련 보안 취약점에 대해 점검·개선 조치를 소홀히 하였으며, 해커의 과도한 접속 시도 등 이상행위를 탐지하고 차단하는 등의 안전조치가 미흡했기 때문으로 밝혀졌다.
이에 개인정보위는 ㈜동행복권에 총 5억300만 원의 과징금과 480만 원의 과태료를 부과하고, 사업자 누리집에 그 사실을 공표하도록 명령했다.
개인정보위는 최근 크리덴셜 스터핑 등 해킹공격이 빈번하게 발생하는 만큼 이상행위에 대한 침입 탐지·차단 조치 등 보안대책을 강화하고, 이용자 인증 관련 취약점 점검 등에도 각별한 주의를 기울일 것을 당부했다.
[소비자가만드는신문=조윤주 기자]
