개보위, 티머니에 5.3억 과징금…"트래픽 60배 폭증했는데 탐지 못했다"
등록 2026.01.29 11:00:00
국내외 IP 9600여개 동원된 해킹 공격…5만명 정보유출
개인정보위 "비정상 행위 탐지 소홀 명백"…재발방지 지시
![[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 열린 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.28. mangusta@newsis.com](https://img1.newsis.com/2026/01/28/NISI20260128_0021142068_web.jpg?rnd=20260128135305)
[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 열린 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.28. [email protected]
개인정보보호위원회는 전날 개최한 전체회의에서 티머니에 대해 과징금 5억3400만원을 부과하고 시정명령 및 공표 명령을 의결했다고 29일 밝혔다.
이번 처분은 지난해 3월 발생한 '크리덴셜 스터핑(Credential Stuffing)' 공격에 의한 개인정보 유출 사고에 따른 것이다. '크리덴셜 스터핑'은 유출된 아이디와 비밀번호를 다른 웹사이트에도 무차별 대입해 로그인을 시도하는 해킹 수법이다.
개인정보위 조사 결과, 해커는 지난해 3월 13~25일 국내외 9647개 IP 주소를 동원해 '티머니 카드&페이' 웹사이트에 1226만 번 이상의 로그인을 시도했다. 당시 공격 규모는 1초당 최대 131회, 1분당 최대 5265회에 달했다. 이는 평상시 대비 68배나 폭증한 수치다.
티머니 측은 이처럼 대량의 반복적인 로그인 시도와 비정상적인 트래픽이 발생했음에도 이를 적시에 탐지하거나 차단하지 못했다. 그 결과 해커는 5만1691명의 회원 계정으로 로그인에 성공하여 이름, 이메일, 휴대전화 번호, 주소 등의 개인정보를 탈취했다.
개인정보위는 최근 '크리덴셜 스터핑' 해킹 공격이 빈번하게 발생하고 있는 점을 지적했다. 각 사업자에게 보안 체계 전반에 대한 긴급 점검과 강화를 요구했다.
또한 개인정보가 노출될 수 있는 화면에서는 정보를 비식별화해 표시하고, 개인정보가 포함된 페이지에 접근할 경우에는 추가 인증 절차를 적용할 것을 권고했다.
![[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 열린 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.28. mangusta@newsis.com](https://img1.newsis.com/2026/01/28/NISI20260128_0021142069_web.jpg?rnd=20260128135305)
[서울=뉴시스] 김선웅 기자 = 송경희 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 열린 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2026.01.28. [email protected]
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
