외부에서 유출된 아이디와 비밀번호를 무차별 대입하는 '크리덴셜 스터핑' 공격으로 약 9만8000명의 회원 계정이 유출됐으며 이 중 51명은 포인트 도난 등 2차 피해까지 입은 것으로 조사됐다.
개인정보보호위원회는 지난 9일 제8회 전체회의를 열고 이같이 결정했다고 10일 밝혔다. 개인정보위 조사 결과, 해커는 2023년 1월 28일부터 2월 6일까지 4305개의 서로 다른 인터넷 주소(IP)를 이용해 기프티쇼 로그인 페이지에 총 540만 번 이상의 로그인을 시도했다.
이는 다른 경로로 사전에 확보한 다수의 이용자 계정 정보를 무작위로 대입해 로그인을 시도하는 전형적인 크리덴셜 스터핑 공격 방식이다. 이 공격을 통해 약 9만8000개 회원 계정으로 실제 로그인에 성공한 것으로 파악됐다.
로그인에 성공한 계정 중 51명의 경우 해커가 개인정보가 포함된 웹페이지에 접근해 회원 정보를 열람했을 뿐만 아니라 해당 계정에 적립된 포인트를 무단으로 사용하는 2차 피해까지 발생시켰다. 다만 KT알파가 사전에 다수의 웹페이지에 개인정보 마스킹(중요 정보 가림 처리) 조치를 적용해 놓은 덕분에 실제 개인정보가 외부로 노출된 피해는 51명 수준에서 그쳤다고 개인정보위는 설명했다.
개인정보위는 KT알파가 비정상적인 대량 접속 시도를 탐지하고 차단하는 침입 탐지 시스템 운영 등 안전조치 의무를 소홀히 했다고 판단했다. 또한 개인정보 유출 사실을 인지하고도 정당한 사유 없이 법정 기한인 24시간을 넘겨 이용자에게 통지한 점도 법 위반 사항으로 지적했다.
개인정보위는 인가받은 자만 시스템에 접속하도록 하는 등 접근 통제가 필수적이라고 강조했다. 또한 크리덴셜 스터핑 공격 예방을 위한 침입 탐지·차단 정책과 더불어 웹페이지 마스킹 조치가 개인정보 유출 피해를 줄이는 데 큰 도움이 될 수 있다고 덧붙였다.
한편 이날 전체회의에서는 온라인 강의 업체 클래스유 역시 데이터베이스 관리자 계정 관리 소홀로 이용자 약 160만 명의 개인정보를 유출해 과징금 5360만원과 과태료 720만원을 부과받았다.
댓글 더보기