섹터나인은 SPC그룹의 IT 계열사로 파리바게트와 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하고 있다.
개인정보위는 개인정보 유출 신고에 따라 조사를 실시해 섹타나인이 '개인정보 보호법'에 따른 안전조치의무를 소홀히 하고 유출 통지·신고를 지연한 사실을 확인했다.
앞서 지난 2022년 10월5일부터 11일까지 해피포인트 앱에 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격이 있었다. 크리덴셜 스터핑은 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입하여 접속(로그인)을 시도하는 공격 방식이다. 로그인 시도 횟수와 로그인 실패율이 급증한다. 해커는 7585명의 개인정보를 탈취했고 이중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했다. 이후 2023년 10월30일부터 11월3일에도 동일한 방식의 해킹 공격이 발생해 9762명의 개인정보가 추가로 유출됐다.
섹타나인은 고객정보 보호를 위한 충분한 조치를 하지 않았다. 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았다. 응용프로그램 인터페이스(API) 응답값에 포함된 개인정보를 보호하기 위한 암호화 조치를 소홀히 하였다. 또한 2022년 10월에 있었던 최초 유출 사고 이후에도 재발방지 대책을 충분히 마련하지 않아 동일한 방식으로 2023년 11월에 유출 사고가 또다시 발생했다.
개인정보위에 따르면 1차공격에는 총 10만9183회의 로그인 시도가 있었다. 동일 IP에서 많으면 1분당 5063회의 로그인 시도가 있었다. 2차 공격에도 총 17만9310회의 로그인 시도가 있었다. 동일 IP에서 1분당 최대 1만1918회의 로그인 시도가 있었다.
아울러 지난 2022년 발생한 사고는 유출 통지·신고가 제때 이루어졌으나 2023년 발생한 사고의 경우 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 경과하여 유출 통지·신고한 사실도 확인됐다.
개인정보위는 섹타나인에 과징금 14억7700만 원과 과태료 720만 원을 부과하고 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.
개인정보위는 개인정보를 처리하는 사업자의 경우 운영중인 시스템에 대한 안전조치를 철저히 하고 사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립하여 유출사고가 재발하지 않도록 각별한 노력을 기울일 것을 당부했다.
[소비자가만드는신문=송민규 기자]
