개인정보 유출한 해피포인트 앱에 과징금 14억 7700만원, 과태료 720만원 부과

개인정보위, 제 3차 전체회의서 결정

1·2차 걸쳐 총 1만 7347명 개인정보 유출

[사진=해피포인트 앱 홈페이지]

개인정보보호위원회(개인정보위) 개인정보 보호 법규를 위반한 SPC그룹의 섹타나인에 과징금 14억7700만원, 과태료 720만원을 부과하기로 결정했다.

개인정보위는 지난 12일 제 3회 전체회의를 열고 이같이 결정했다고 13일 밝혔다.

섹타나인은 SPC그룹의 계열사로 파리바게뜨, 베스킨라빈스 등 23개 브랜드 가맹점에서 이용 가능한 해피포인트 멤버십 서비스를 운영하고 있다. 

개인정보위에 따르면 지난 2022년 10월 5일부터 11일까지 섹타나인이 운영 중인 해피포인트 앱이 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 시도해 로그인에 성공했다. 크리덴셜 스터핑이란 사전에 확보한 다수의 아이디, 비밀번호 정보를 무차별 대입해 로그인을 시도하는 공격 방식이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징이 있다.

이후 서버에서 로그인 성공 시 응답값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름, 아이디, 성별, 생년 등 총 7585명의 개인정보를 탈취했다. 이 과정에서 이용자의 해피포인트도 무단 사용되는 등 2차 피해도 발생했다. 

개인정보위는 지난 2023년 10월 30일부터 11월 3일까지 동일한 방식의 해킹 공격이 발생했다고 밝혔다. 이로 인해 9762명의 개인 정보가 한번 더 유출됐다. 

개인정보위는 섹타나인이 고객정보 보호를 위한 충분한 조치를 하지 않았다고 봤다. 짧은 기간 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 탐지·차단할 수 있는 대책을 마련하지 않았다는 점을 근거로 들었다. API 응답값에 포함한 개인정보를 보호하기 위한 암호화 조치를 소홀히 한 점, 최초 유출 사고 이후 재발방지 대책을 마련하지 않은 점 등도 포함됐다. 

아울러 섹타나인은 23년 사고 당시에는 개인정보 유출 인지 시점부터 정당한 사유 없이 72시간 경과해 유출을 통지, 신고한 사실도 확인됐다. 

이에 개인정보위는 섹타나인에 과징금 14억7700만원과 과태로 720만원을 부과했다. 

개인정보위는 "개인정보를 처리하는 사업자는 운영중인 시스템에 대한 안전조치를 철저히 하고 사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립해달라"고 당부했다.