5만 1691명의 개인정보를 유출한 티머니가 총 5억 3400만 원의 과징금을 부과받았다.

개인정보보호위원회는 지난 28일 정부서울청사에서 제2회 전체회의를 열고, 이같은 과징금과 시정명령 및 공표 명령하기로 의결했다고 29일 밝혔다.

개인정보위는 지난해 4월 11일 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 개인정보 보호법에 따른 안전조치 의무를 소홀히 한 것을 확인했다.

티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자다.

신원 미상의 해커는 지난해 3월 13일부터 25일까지 '티머니 카드&페이' 웹사이트에 크리덴셜 스터핑 공격 방법으로 침입해 5만 1691명의 개인정보를 유출했다.

조사 결과에 따르면 이 기간 해커는 티머니 카드&페이 웹사이트에 국내외 9647개 IP 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만 번 이상 대규모로 로그인을 시도했다.

이 중 5만 1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다.

해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 T마일리지 약 1400만원을 선물하기 기능으로 탈취하기도 했다.

개인정보위는 티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했음에도 침입 탐지·차단 및 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어졌다고 평가했다.

개인정보위는 티머니에 5억 3400만원의 과징금을 부과하고, 사업자 홈페이지에 사실을 공표하도록 명령하면서 구체적인 재발 방지 대책을 수립·시행하도록 시정조치 명령했다.

lgirim@news1.kr