투데이e코노믹 = 우혜정 기자 | 2년 연속 고객정보 유출사고를 낸 해피포인트 멤버십 운영사가 약 15억원의 과징금을 물게 됐다.

개인정보보호위원회는 최근 전체회의에서 해피포인트 운영사인 섹타나인에 과징금 14억7700만원과 과태료 720만원, 공표명령을 부과하기로 의결했다. 고객 개인정보 보호를 위한 충분한 조치를 하지 않았다는 이유에서다.

섹터나인은 SPC그룹 정보기술(IT) 계열사로 파리바게뜨, 배스킨라빈스, 파스구찌 등 SPC그룹 브랜와 현대오일뱅크·메가박스 등 그룹 외부기업을 비롯한 23개 브랜드 가맹점에서 이용할 수 있는 멤버십 서비스를 운영한다.

앞서 해피포인트는 2022년 10월 5~11일 해커로부터 이용자 7585명의 아이디·이름·성별·출생연도와 해피포인트 카드번호를 탈취당했다. 이 중 일부 이용자의 포인트가 무단 사용되는 피해도 발생했다.

신원 미상의 해커는 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입, 로그인을 시도하는 이용자들의 개인정보를 간파하는 '크리덴셜 스터핑'을 공격에 활용했다. 다수의 온라인 서비스에 같은 아이디와 비밀번호를 사용하는 이용자들의 습성을 악용한 것이다.

API 암호화 느슨해진 탓...연이은 사고로 과징금 가중

사고는 1년 후에도 이어졌다. 다음해인 2023년 10월 30일부터 11월 3일까지 동일한 수법의 해킹이 발생해 9762명의 개인정보가 추가로 유출된 것이다.

해피포인트 가맹점과 섹타나인이 고객정보를 주고받는 데 사용하던 앱프로그래밍인터페이스(API)의 암호화가 취약한 것이 해커가 칩입할 수 있었던 통로가 된 것으로 알려졌다.

섹터나인은 연이은 사고에 대한 책임으로 원안보다 4억여원 가중된 과징금을 부여받았다. 과징금은 회사가 2023년 기록한 순이익(21억원)의 70%에 달하는 수준이다.

개인정보위는 "짧은 시간 같은 IP(인터넷주소)에서 대규모 로그인 시도가 발생하는 경우 이를 탐지·차단할 수 있는 대책을 마련하지 않았고, API 응답값의 개인정보를 보호하기 위한 암호화 조치를 소홀히 했다"고 지적했다. 이어 "2022년 사고 이후에도 재발방지책을 충분히 마련하지 않아 2023년 같은 방식으로 사고가 또다시 발생했다"고 밝혔다.