유명 온라인강의 플랫폼 ㈜클래스유에 개인정보 대량유출로 수천만원의 과징금·과태료가 부과됐다. 케이티(KT) 콘텐츠·유통 부문 자회사 ㈜케이티알파도 1000만원이 넘는 과징금·과태료를 물게 됐다.

개인정보보호위원회는 9일 제8회 전체회의를 열고 개인정보보호 법규를 위반한 이들 사업자에 대해 총 5851만원의 과징금과 1410만원의 과태료를 부과하고, 공표를 명령했다.

우선 클래스유에는 대량의 개인정보 유출 책임을 물어 과징금 5360만원과 과태료 720만원을 부과했다. 시정명령과 부과명령도 내렸다. 이 업체는 지난 2023년 8월부터 지난해 7월 25일까지 약 160만명의 개인정보를 유출했다. 해커가 데이터베이스(DB) 관리자 계정을 해킹해 개인정보를 빼간 것으로 추정된다.

이 사고와 관련해 개인정보위 조사 결과 클래스유는 다수의 안전조치 의무를 위반한 사실이 드러났다. 개인정보처리시스템에 접근할 수 있는 접근권한을 아이피(IP) 주소 등으로 제한하지 않았으며, 다수의 개인정보취급자가 정당한 사유 없이 하나의 관리자 계정을 공유하고 있었다. 또한 이용자의 주민등록번호 및 계좌번호를 암호화하지 않고 저장한 사실도 드러났다. 아울러 처리 목적을 달성한 이용자의 신분증 사본을 파기하지 않고 보관한 사실과 개인정보 유출 인지 후 정당한 사유 없이 72시간이 지나 통지한 사실도 확인됐다. 다만 개인정보위는 중대한 위법 사실이 드러났음에도 불구하고 이 업체의 재무상황 등 현실적인 부담 능력을 고려해 과징금 부과액을 감경 적용했다.

케이티알파도 개인정보 유출에 대한 책임으로 과징금 491만원과 과태료 690만원 처분을 받았다. 이 업체는 지난 2023년 1월 28일부터 2월 6일까지 약 열흘 동안 해커의 공격으로 회사가 운영 중인 기프티쇼(모바일상품권 판매) 회원 개인정보를 탈취당했다. 이 기간에 해커는 총 4305개의 아이피 주소를 사용해 총 540만번 이상의 로그인을 시도했고, 약 9만8000명의 회원 계정으로 로그인에 성공했다. 또한 이 가운데 51명의 계정으로 개인정보가 포함된 웹페이지에 접근해 회원 개인정보를 열람했다. 그뿐만 아니라 이 회원들이 보유하고 있던 포인트를 무단 사용하는 2차 피해도 발생했다.

조사 결과 이 사고는 케이티알파가 특정 아이피 주소에서 대량으로 반복적인 로그인 시도 등 비정상적인 접속 시도가 발생할 경우에 대비한 탐지와 차단 대책을 마련하지 않은 것이 원인으로 드러났다. 케이티알파는 또 개인정보 유출 사실을 확인하고도 정당한 사유 없이 24시간이 지나 유출 통지한 사실도 밝혀됐다. 다만 해커가 약 9만8000명의 회원 계정으로 로그인에는 성공했지만 업체가 다수의 웹페이지에서 개인정보를 가리는 사전조치(마스킹 정책)를 한 덕분에 실제로 개인정보가 유출된 규모가 51명에 그친 것으로 확인됐다.