개인정보보호위원회는 1월 28일 제2회 전체회의를 열고, 개인정보 보호 의무를 위반한 티머니에 대해 총 5억3,400만 원의 과징금을 부과하고 시정명령 및 공표 명령을 의결했다고 밝혔다.

개인정보위는 지난해 4월 11일 접수된 개인정보 유출 신고를 계기로 조사를 진행한 결과, 티머니가 「개인정보 보호법」에 따른 안전조치 의무를 충분히 이행하지 않은 사실을 확인했다.

조사 결과에 따르면, 티머니는 선불교통카드 및 대중교통 요금 정산 서비스를 운영하는 사업자로서 ‘티머니 카드&페이’ 웹사이트를 관리하고 있었다. 해당 사이트는 2025년 3월 13일부터 25일까지 신원 미상의 해커로부터 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 받았고, 이 과정에서 5만1,691명의 개인정보가 유출됐다. 유출된 정보는 이름, 이메일 주소, 휴대전화 번호, 주소 등이다.

해커는 국내외 9,647개 IP 주소를 활용해 대규모 로그인 공격을 시도했다. 최대 1초당 131회, 1분당 5,265회에 달하는 로그인 시도가 이뤄졌으며, 전체 시도 횟수는 1,226만 회를 넘었다. 이 중 5만1,691개의 계정에서 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.

또한 로그인에 성공한 계정 가운데 4,131명은 잔여 ‘T마일리지’ 약 1,400만 원 상당이 ‘선물하기’ 기능을 통해 탈취되는 추가 피해를 입었다.

개인정보위는 이번 사고가 비정상적인 로그인 시도가 장기간 발생했음에도 불구하고, 티머니가 이를 적시에 탐지·차단하지 못한 점을 문제로 지적했다. 침입 탐지 시스템 운영과 이상 행위 대응 등 기본적인 보안 조치가 미흡해 개인정보 유출로 이어졌다는 판단이다.

이에 따라 개인정보위는 과징금 부과와 함께, 티머니가 자사 홈페이지를 통해 위반 사실을 공표하도록 명령했다. 아울러 재발 방지를 위한 구체적인 보안 대책을 수립·시행하도록 시정조치도 함께 내렸다.

개인정보위는 최근 크리덴셜 스터핑 공격이 잇따르고 있는 만큼, 기업들에게 비정상 접속에 대한 탐지·차단 체계 점검과 강화를 당부했다. 특히 개인정보가 노출되는 화면에 대한 비식별화 조치와 추가 인증 도입이 사고 예방에 도움이 될 수 있다고 강조했다.

대규모 반복 로그인 시도는 명백한 위험 신호다. 이번 제재는 개인정보 보호에서 ‘사후 대응’보다 ‘사전 차단’이 얼마나 중요한지를 다시 한 번 보여준다.

[비즈데일리 유정흔 기자]