2022∼2023년 1만7000여명 고객정보 유출, 과징금 14억원 부과
섹터나인 “회원께 심려 끼쳐 죄송”
[보안뉴스 박은주 기자] 안전조치를 소홀히 해 고객 1만7000여명 정보를 해커에게 털린 ‘해피포인트’ 운영사가 과징금 14억여원을 물게 됐다.
▲개인정보 보호법을 위반한 해피포인트 운영사 ‘섹타나인’에 과징금 14억원이 부과됐다[자료: 해피포인트 홈페이지]
해피포인트는 파리바게뜨와 배스킨라빈스, 파스구찌 등 SPC그룹 브랜드를 포함한 23개 브랜드 가맹점에서 이용할 수 있는 멤버십 서비스다.
개인정보보호위원회는 13일 개인정보보호법을 위반한 해피포인트 운영사 섹타나인에 대한 과징금 및 시정명령 처분을 전날 전체회의에서 의결했다고 밝혔다.
개인정보위 조사 결과 2022년 10월 신원 미상의 해커는 섹타나인이 운영하는 해피포인트 애플리케이션에 ‘크리덴셜 스터핑’ 공격을 시도해 로그인에 성공했다.
크리덴셜 스터핑은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다.
이후 해커는 로그인 성공 시 응답 값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름과 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명 개인정보를 탈취했다.
이 가운데 일부 이용자의 해피포인트가 무단 사용되는 2차 피해도 발생했다.
2023년 10월에도 동일한 방식의 해킹 공격이 발생해 9762명의 개인정보가 추가로 유출됐다.
이처럼 1년 새 같은 수법의 해킹 공격으로 1만7000여명의 고객정보가 외부로 흘러나갔지만, 섹타나인은 충분한 보호 조치를 하지 않았다.
짧은 시간에 동일 IP 주소에서 대규모 로그인 시도가 발생할 때 이를 탐지·차단할 수 있는 대책을 마련하지 않았다. API 응답 값에 포함된 개인정보를 보호하기 위한 암호화 조치도 소홀히 한 것이다.
아울러 재작년 발생한 사고는 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 넘겨 유출 통지·신고한 사실도 확인됐다.
이에 개인정보위는 섹타나인에 과징금 14억7700만원과 과태료 720만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
개인정보위는 “개인정보를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 해야 한다”며 “사고가 이미 발생한 경우에는 재발 방지 대책을 마련하는 노력을 기울여 달라”고 당부했다.
섹타나인 관계자는 “회원에게 심려를 끼쳐 죄송하고, 재발 방지에 더욱 노력하겠다”며 “전산망이 뚫리는 일반적인 해킹 피해가 아닌 다른 곳에서 수집한 로그인 정보로 불법 접속을 한 것인데 이런 처분을 받게 돼 안타깝다. 법적 구제 방안을 검토하고 있다”고 말했다.
[박은주 기자(boan5@boannews.com)]
섹터나인 “회원께 심려 끼쳐 죄송”
[보안뉴스 박은주 기자] 안전조치를 소홀히 해 고객 1만7000여명 정보를 해커에게 털린 ‘해피포인트’ 운영사가 과징금 14억여원을 물게 됐다.
▲개인정보 보호법을 위반한 해피포인트 운영사 ‘섹타나인’에 과징금 14억원이 부과됐다[자료: 해피포인트 홈페이지]
해피포인트는 파리바게뜨와 배스킨라빈스, 파스구찌 등 SPC그룹 브랜드를 포함한 23개 브랜드 가맹점에서 이용할 수 있는 멤버십 서비스다.
개인정보보호위원회는 13일 개인정보보호법을 위반한 해피포인트 운영사 섹타나인에 대한 과징금 및 시정명령 처분을 전날 전체회의에서 의결했다고 밝혔다.
개인정보위 조사 결과 2022년 10월 신원 미상의 해커는 섹타나인이 운영하는 해피포인트 애플리케이션에 ‘크리덴셜 스터핑’ 공격을 시도해 로그인에 성공했다.
크리덴셜 스터핑은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다.
이후 해커는 로그인 성공 시 응답 값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름과 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명 개인정보를 탈취했다.
이 가운데 일부 이용자의 해피포인트가 무단 사용되는 2차 피해도 발생했다.
2023년 10월에도 동일한 방식의 해킹 공격이 발생해 9762명의 개인정보가 추가로 유출됐다.
이처럼 1년 새 같은 수법의 해킹 공격으로 1만7000여명의 고객정보가 외부로 흘러나갔지만, 섹타나인은 충분한 보호 조치를 하지 않았다.
짧은 시간에 동일 IP 주소에서 대규모 로그인 시도가 발생할 때 이를 탐지·차단할 수 있는 대책을 마련하지 않았다. API 응답 값에 포함된 개인정보를 보호하기 위한 암호화 조치도 소홀히 한 것이다.
아울러 재작년 발생한 사고는 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 넘겨 유출 통지·신고한 사실도 확인됐다.
이에 개인정보위는 섹타나인에 과징금 14억7700만원과 과태료 720만원을 부과하고, 사업자 홈페이지에 처분 사실을 공표하도록 명령했다.
개인정보위는 “개인정보를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 해야 한다”며 “사고가 이미 발생한 경우에는 재발 방지 대책을 마련하는 노력을 기울여 달라”고 당부했다.
섹타나인 관계자는 “회원에게 심려를 끼쳐 죄송하고, 재발 방지에 더욱 노력하겠다”며 “전산망이 뚫리는 일반적인 해킹 피해가 아닌 다른 곳에서 수집한 로그인 정보로 불법 접속을 한 것인데 이런 처분을 받게 돼 안타깝다. 법적 구제 방안을 검토하고 있다”고 말했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
