연합뉴스한국연구재단이 12만여명의 개인정보 유출로 과징금 7억 300만 원과 과태료 480만 원, 티머니가 5만여명의 정보 유출로 과징금 5억 3400만 원을 물게 됐다.
개인정보보호위원회는 29일 정부서울청사에서 제2회 전체회의를 열고, 이같은 과징금과 시정명령을 명령할 것을 의결했다고 밝혔다.
개인정보위 조사에 따르면, 한국연구재단 운영 '온라인 논문 투고·심사 시스템(JAMS)'이 지난해 6월 6일 해킹 공격을 받아 회원 12만여명의 개인정보가 유출됐다.
구체적으로 이름과 아이디, 휴대전화 번호, 계좌번호, 이메일 등 44개 항목이 유출된 것으로 조사됐다. 재단은 주민등록번호를 수집·이용하지 않는데, 일부 회원이 비고란에 임의로 기재해 주민등록번호가 116건 유출되기도 했다.
해커는 JAMS 내 학회 페이지의 비밀번호 찾기 인터넷 주소(URL)에 존재하는 취약점을 악용했다. 해당 URL에 기재된 이메일 주소를 임의로 바꾸면, 비밀번호 찾기에 필요한 이름과 아이디, 이메일 주소를 입력하지 않아도 개인정보 화면이 나타난 것으로 조사됐다.
앞서 2013년부터 이같은 취약점이 있었으나 재단은 장기간 탐지하지 못한 것으로 나타났다. 재단은 해킹 이후에도 시스템을 개선하지 않아 지난해 6월17일 JAMS 회원 명의가 도용되는 2차 피해가 발생하기도 했다.
이와 함께 개인정보위는 지난해 4월11일 개인정보 유출 신고를 접수한 뒤 조사한 결과, 티머니가 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것을 확인했다.
조사에 따르면, 신원 미상의 해커는 지난해 3월 13일부터 25일까지 '티머니 카드&페이' 웹사이트를 '크리덴셜 스터핑' 공격 방법으로 침입해 5만1691명의 이름과 이메일 주소, 휴대전화 번호, 주소 등 개인정보를 유출했다.
크리덴셜 스터핑 해킹은 공격자가 모종의 방법을 통해 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서 로그인에 성공할 때까지 무차별적으로 시도하는 해킹 공격이다.
해커는 국내외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회 등 모두 1226만 차례 이상의 대규모 로그인을 시도했다. 이 중 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 조사됐다.
이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 'T마일리지' 약 1400만 원을 선물하기 기능으로 탈취한 것으로 조사됐다.
티머니는 비정상적인 이상 징후가 발생했음에도 침입 탐지·차단 및 이상 행위 대응 등 안전조치 의무를 소홀히 한 것으로 조사됐다.
이와 함께 개인정보위는 NHN커머스에도 과징금 870만 원을 부과했다.
NHN커머스는 쇼핑몰 내 구형 솔루션에 대한 기술지원 등을 소홀히 해 해킹 피해를 입은 것으로 조사됐다. NHN커머스는 유출 사고 이후 개인정보위에 72시간 내 유출신고를 완료했으나, 정작 피해를 본 이용 사업자들에게는 제때 유출 통지를 하지 않은 것으로도 조사됐다.