섹타나인은 파리바게트, 배스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하는 업체이다.
개인정보위는 개인정보 유출사고가 발생한 섹타나인을 조사해 개인정보 보호법에 따른 안전조치의무를 소홀히 하고 유출 통지·신고를 지연한 사실을 확인했다고 전했다.
개인정보위 조사에 따르면 2022년 10월 신원 미상의 해커는 섹타나인이 운영 중인 해피포인트 애플리케이션(앱)에 ‘크리덴셜 스터핑’ 공격을 시도해 로그인에 성공했다.
‘크리덴셜 스터핑’은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 방식이다.
해커는 서버에서 로그인 성공 시 응답 값을 이용자에게 회신하는 응용프로그램 인터페이스(API)를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다. 이 가운데 일부 이용자의 해피포인트가 무단 사용되는 2차 피해가 발생했다.
이후 2023년 10월~11월에도 동일 방식의 해킹 공격으로 9762명의 개인정보가 추가로 유출됐다.
개인정보위는 섹타나인이 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, API 응답 값에 포함된 개인정보를 보호하기 위한 암호화 조치에 소홀했다고 봤다.
또한 최초 유출 사고 이후에도 재발방지 대책을 충분히 마련하지 않아 동일한 방식으로 유출 사고가 또다시 발생한 점도 문제라고 지적했다.
심지어 두 번째 사고에서는 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 지나 유출 통지·신고한 것으로 확인됐다.
개인정보위는 “개인정보를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 해야 한다”며 “사고가 이미 발생한 경우에는 재발 방지 대책을 마련하는 노력을 기울여 달라”고 당부했다.
김정아 기자 ja.kim@ilyo.co.kr
