개인정보보호위원회가 대규모 개인정보 유출 사고를 일으킨 티머니에 대해 과징금과 시정명령을 부과했다.

개인정보보호위원회는 지난 28일 열린 제2회 전체회의에서 「개인정보 보호법」을 위반한 티머니에 과징금 5억3400만원을 부과하고, 시정명령과 공표 명령을 의결했다고 밝혔다.

개인정보위는 2025년 4월 11일 접수된 개인정보 유출 신고를 바탕으로 조사한 결과, 티머니가 법에서 규정한 안전조치 의무를 소홀히 한 사실을 확인했다.

조사 결과에 따르면, 티머니는 선불교통카드 및 대중교통 요금 정산 서비스를 운영하는 사업자로, ‘티머니 카드&페이’ 웹사이트가 2025년 3월 13일부터 25일까지 신원 미상의 해커로부터 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 받았다. 

이 과정에서 이름, 이메일 주소, 휴대전화 번호, 주소 등 5만1691명의 개인정보가 유출된 것으로 확인됐다.

 개인정보 유출사고 개요/자료제공=개인정보위

크리덴셜 스터핑은 공격자가 탈취한 계정·비밀번호 정보를 다른 사이트에 반복적으로 대입해 로그인을 시도하는 해킹 기법으로, 로그인 시도 횟수와 실패율이 급증하는 특징을 보인다.

해커는 해당 기간 동안 국내·외 9647개 IP 주소를 이용해 초당 최대 131회, 분당 최대 5265회, 총 1226만 회 이상 로그인을 시도한 것으로 조사됐다. 이는 평시 대비 일평균 로그인 시도 건수가 68배 증가한 수준이다. 

이 가운데 5만1691개의 회원 계정에서 로그인에 성공해 개인정보가 포함된 웹페이지에 접근했다.

또한, 로그인에 성공한 계정 중 4131개 계정에서는 ‘선물하기’ 기능을 통해 잔여 T마일리지 약 1400만원이 탈취돼 2차 피해도 발생했다.

개인정보위는 티머니가 특정 IP에서 대량·반복적인 로그인 시도가 발생하는 등 비정상적인 이상 징후가 있었음에도 이를 적절히 탐지·차단하지 못하고, 이상행위 대응 등 보안 관리에 소홀했던 점이 개인정보 유출로 이어졌다고 판단했다.

이에 따라 개인정보위는 티머니에 과징금 5억3400만원을 부과하고, 사업자 누리집에 처분 사실을 공표하도록 명령했다. 아울러 구체적인 재발 방지 대책을 수립·시행할 것을 시정조치로 요구했다.

개인정보위는 최근 크리덴셜 스터핑 공격이 빈번하게 발생하고 있다며, 비정상 접속에 대한 침입 탐지·차단 조치를 포함한 보안 대책을 점검하고 강화할 것을 사업자들에게 당부했다. 

아울러 개인정보가 노출되는 화면의 비식별화 처리와 개인정보 포함 페이지 접근 시 추가 인증 적용 등이 사고 예방에 도움이 될 수 있다고 강조했다.

[경제엔미디어=장민철 기자]