개인정보위, 안전조치 소홀한 클래스유·KT알파에 과징금 부과
등록 2025.04.10 12:00:00
개인정보위, 개인정보 보호 법규 위반한 2개 사업자 제재 의결
클래스유 160만명 개인정보 유출·KT알파 98000명 계정정보 탈취
![[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원장이 9일 서울 종로구 정부서울청사에서 열린 2025년 개인정보보호위원회(개인정보위) 제8회 전체회의에 참석해 발언하고 있다. 2025.04.09. kmx1105@newsis.com](https://img1.newsis.com/2025/04/09/NISI20250409_0020765961_web.jpg?rnd=20250409134633)
[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원장이 9일 서울 종로구 정부서울청사에서 열린 2025년 개인정보보호위원회(개인정보위) 제8회 전체회의에 참석해 발언하고 있다. 2025.04.09. [email protected]
[서울=뉴시스]송혜리 기자 = 개인정보보호위원회는 개인정보보호 법규를 위반한 온라인 강의 플랫폼 클래스유와 모바일 상품권(기프티쇼)판매사 KT알파에 총 과징금 5851만원, 과태료 1410만원을 부과하고, 관련 사실을 공표 및 공표 명령했다고 10일 밝혔다.
이를 통해 클래스유는 과징금 5360만원, 과태료 720만원, KT알파는 과징금 491만원, 과태료 690만원을 각각 처분받았다.
클래스유는 2023년 8월부터 지난해 7월까지 약 1년 간 신원미상의 해커가 관리자 계정을 통해 데이터베이스(DB)에 접속, 약 160만명에 달하는 이용자 개인정보가 유출됐다.
조사 결과 클래스유는 DB 접근 권한을 IP 주소 등으로 제한하지 않았고, 다수의 개인정보취급자가 하나의 관리자 계정을 공유한 사실이 드러났다. 특히 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장했으며, 이용 목적이 끝난 신분증 사본을 파기하지 않는 등 다수의 안전조치 위반 사항이 확인됐다. 또 개인정보 유출을 인지하고도 정당한 사유 없이 72시간이 지나서야 이용자에게 통지한 사실도 확인됐다.
KT알파의 경우 2023년 1월 말부터 2월 초까지 기프티쇼 웹사이트가 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받아 9만8000여개의 사용자 계정이 탈취됐다.
이 공격은 해커가 사전에 확보한 아이디와 비밀번호를 무작위로 대입해 로그인을 시도하는 방식으로, 당시 4305개 개 IP를 통해 540만번 이상 대규모 로그인 시도가 있었던 것으로 파악됐다. 이 가운데 51명의 계정은 개인정보가 포함된 웹페이지에 접근당했고, 일부는 보유 포인트가 무단으로 사용되는 2차 피해로도 이어졌다.
이는, KT알파가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우, 이를 탐지하고 차단하기 위한 침입 탐지·차단 정책 관리와 이상행위 대응 체계 운영 등 안전조치의무를 소홀히 했기 때문으로 밝혀졌다.
아울러 KT알파는 개인정보 유출 인지 후 정당한 사유 없이 24시간을 경과해 유출 통지한 사실이 확인됐다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
