개인정보 유출 '티머니'에 과징금 5.3억원

티머니 소개 이미지 / 사진 티머니

개인정보 유출 사고를 일으킨 티머니가 과징금 조치를 받았다. 

개인정보보호위원회는 28일 제2회 전체회의를 열고 개인정보 보호법을 위반한 티머니에 총 5억3400만원의 과징금을 부과하고 시정명령과 공표 명령을 의결했다.

이번 조치는 2025년 4월 11일 접수된 개인정보 유출 신고를 바탕으로 한 조사 결과에 따른 것이다.

개인정보위 조사 결과, 티머니는 법에서 정한 개인정보 안전조치 의무를 충분히 이행하지 않은 것으로 확인됐다.

티머니는 선불교통카드와 대중교통 요금 정산 서비스를 운영하는 사업자다. 티머니 카드&페이 웹사이트는 지난해 3월 13일부터 25일까지 크리덴셜 스터핑 공격을 받아 개인정보가 유출됐다.

유출된 정보는 티머니 가입자 5만1691명의 이름, 이메일 주소, 휴대폰 번호, 주소 등이다. 

개인정보위에 따르면, 해커는 국내외 9647개 IP 주소를 이용해 티머니에 대한 로그인을 시도했다. 공격 기간 1초당 최대 131회, 1분당 최대 5265회, 총 1226만회 이상의 로그인 시도가 발생했다. 이는 평시 대비 68배에 달하는 수치다.

이 과정에서 5만1691개 계정에 대한 로그인에 성공해 개인정보가 포함된 페이지에 접근한 것으로 드러났다. 또한 로그인에 성공한 계정 가운데 4131개 계정에서는 잔여 T마일리지 1400만원을 선물하기 기능을 통해 탈취했다.

개인정보위는 티머니가 특정 IP에서 반복적인 로그인 시도 등 명백한 이상 징후가 있었음에도 침입 탐지와 차단, 이상행위 대응 등을 적절히 하지 않았다고 판단했다.

이에 개인정보위는 티머니에 과징금 부과와 함께 홈페이지 공표를 명령하고 재발 방지 대책을 수립해 시행하도록 시정조치를 내렸다.

아울러 최근 크리덴셜 스터핑 공격이 빈번한 만큼 비정상 접속 차단, 개인정보 비식별화, 추가 인증 도입 등 보안 강화를 당부했다.