[보안뉴스 한세희 기자] 개인정보 보호 조치를 소홀히 한 온라인 강의 플랫폼 기업에 과징금이 부과됐다. 기프티콘을 판매하는 KT 계열사도 제재를 받았다.

개인정보보호위원회는 9일 전체회의를 열고 개인정보 보호 법규를 위반한 클래스유와 케이티알파에 각각 5360만원과 491만원의 과징금을 부과했다고 10일 밝혔다.


▲고학수 개인정보보호위원회 위원장이 9일 서울 종로구 정부서울청사에서 열린 2025년 제8회 전체 회의에서 발언하고 있다. [자료: 연합]

클래스유는 2023년 8월부터 2024년 7월 사이 데이터베이스 관리자 계정을 획득한 해커에게 이용자 160만명의 개인정보가 유출되는 사고가 있었다.

조사 결과, 클래스유는 DB 접근권한을 IP 주소 등으로 제한하지 않았으며, 다수의 직원이 하나의 관리자 계정을 공유한 것으로 나타났다. 이용자 주민등록번호와 계좌번호도 암호화하지 않고 저장했다.

여러 안전조치 의무 위반 사항이 있었으나 재무 상황 등 현실적 부담을 고려해 과징금 규모를 5360만원으로 경감했다. 또 과태료 720만원을 부과하고 처분 사실을 홈페이지에 공표하도록 했다.

케이티알파는 2023년 1-2월 모바일 상품권 기프티쇼 웹사이트에 해킹 공격을 당해 회원 개인정보가 유출되는 사고를 겪었다. 공격자는 미리 확보한 다수의 아이디와 비밀번호를 무차별 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’ 수법을 썼다.

해커는 4300여개의 IP 주소에서 540만번 이상 로그인을 시도해 9만8000명의 회원 계정으로 로그인에 성공했다. 이중 51명의 게정으로 개인정보가 포함된 웹페이지에 접근해 개인정보를 열람하고 포인트를 무단 사용했다.

케이티알파는 비정상적 접근 시도를 탐지하고 차단하기 위한 정책 관리와 대응 체계 운영에 소홀했던 것으로 조사됐다. 다만, 미리 개인정보를 마스킹해 실제 개인정보 유출 규모는 51명에 그친 점 등을 고려 과징금 491만원과 과태료 690만원을 부과했다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>