SPC 섹타나인, 해피포인트 개인정보 유출로 과징금 14.8억 부과

 

 

 

 

[산경투데이 = 박우진 기자]

SPC그룹의 정보기술(IT) 계열사인 섹타나인이 개인정보 유출 사고로 인해 약 14억8420만 원의 과징금과 과태료를 부과받았다. 이는 해피포인트 멤버십 운영 중 발생한 연속된 보안 사고에 따른 조치다.

개인정보보호위원회는 지난 12일 전체회의를 통해 섹타나인에 과징금 14억7700만 원, 과태료 720만 원, 그리고 공표명령을 부과하기로 결정했다. 해피포인트는 2022년과 2023년, 두 차례에 걸쳐 대규모 개인정보 유출 사고를 겪었다.

첫 번째 사고는 2022년 10월 5일부터 11일까지 발생했으며, 7585명의 아이디, 이름, 성별, 출생연도, 해피포인트 카드번호가 유출됐다. 이로 인해 일부 고객의 포인트가 무단 사용되는 피해가 보고됐다.

그러나 적절한 보안 조치를 마련하지 않은 채 운영을 지속한 결과, 2023년 10월 30일부터 11월 3일까지 동일한 방식의 해킹이 다시 발생해 9762명의 개인정보가 추가로 유출됐다.

이번 사고에서 해커들은 '크리덴셜 스터핑' 기법을 활용했다. 이는 다른 서비스에서 유출된 아이디와 비밀번호를 자동화된 방식으로 입력해 로그인에 성공한 후 개인정보를 탈취하는 수법이다.

특히 해피포인트의 앱프로그래밍인터페이스(API) 보안이 미흡했던 점이 해킹을 용이하게 만들었다. API 응답값의 개인정보 암호화가 충분히 이루어지지 않아 해커들이 고객 정보를 쉽게 확보할 수 있었던 것으로 드러났다.

해커들은 2022년 공격 당시 분당 최대 5053차례, 총 10만9183차례 로그인 시도를 했으며, 2023년 공격에서는 시도 횟수를 대폭 증가시켜 분당 최대 1만1918차례, 총 17만9310차례 시도한 것으로 조사됐다.

개인정보보호위원회는 "짧은 시간 동안 동일한 IP에서 대규모 로그인 시도가 발생했음에도 이를 감지하고 차단할 조치가 마련되지 않았다"고 지적했다.

또한 "2022년 사고 이후 충분한 보안 조치를 시행하지 않아 2023년에도 동일한 사고가 반복됐다"며 섹타나인의 관리 소홀을 문제 삼았다.

특히 두 번째 사고 발생 후에도 유출 사실을 신속히 신고하지 않았다는 점도 문제로 지적됐다. 개인정보 유출 사실을 인지한 이후 72시간 내 신고해야 하는 규정을 위반한 것이다.

개인정보보호위원들은 이 같은 반복된 보안 사고에 대한 책임을 무겁게 평가하며, 당초 과징금보다 4억 원을 추가로 가중했다.

이에 따라 부과된 과징금은 회사의 2023년 순이익(21억 원)의 69.8%에 해당하는 규모다.

해피포인트는 SPC그룹의 대표적인 멤버십 서비스로, 파리바게뜨, 던킨도너츠, 배스킨라빈스 등 그룹 계열 브랜드뿐만 아니라 현대오일뱅크, 메가박스 등 외부 기업과도 연계돼 운영되고 있다.

출처 : 산경투데이 https://www.sankyungtoday.com

 

 

https://www.sankyungtoday.com/news/articleView.html?idxno=50714

SPC 섹타나인, 해피포인트 개인정보 유출로 과징금 14.8억 부과