파리바게뜨ㆍ배스킨라빈스 등에서 이용하는 해피포인트 멤버십 가입자의 개인정보가 유출돼 정부 당국이 운영사에 14억대 과징금 처분을 내렸다. 개인정보보호위원회(개보위)는 12일 제3차 전체회의를 열고 개인정보보호법을 위반한 섹타나인에 과징금 14억7000만원, 과태료 720만원을 부과했다고 13일 밝혔다. 섹타나인은 파리바게뜨ㆍ배스킨라빈스 등 23개 브랜드의 가맹점에서 이용할 수 있는 해피포인트 멤버십 서비스를 운영하고 있다.  

개보위에 따르면 2022년 10월 신원미상의 해커가 섹타나인이 운영하는 해피포인트 앱을 ‘크리덴셜스터핑’ 공격 방법으로 침입해 7585명의 개인정보를 탈취한 것으로 나타났다. 크리덴셜스터핑 공격은 하나의 계정ㆍ비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 공격이다. 이 해킹 방식으로 해피포인트앱 사용자의 이름, 아이디, 성별, 생년, 해피포인트 카드번호가 유출됐다. 개보위 관계자는 “이 중 일부 이용자의 해피포인트가 무단으로 사용되는 2차 피해가 발생했다”고 밝혔다. 

해커는 이듬해 10월에도 동일한 방식으로 해킹해 9762명의 개인정보가 추가로 유출되는 등 총 1만7347명이 피해를 입었다.  

개인정보보호위원회는 이런 피해가 발생했음에도 섹타나인이 고객정보 보호를 위한 충분한 조치를 하지 않았다고 진단했다. 동일한 IP 주소에서 1분당 5000~1만회에 달하는 대량의 로그인 시도가 발생했는데도 이를 탐지하거나 차단하는 대책을 마련하지 않은 것도 문제라고 봤다. 또 개인정보를 보호하기 위한 암호화 조치도 소홀한 것으로 나타났다. 개보위 관계자는 “최초 유출 사고 이후에도 재발 방지 대책을 충분히 마련하지 않고, 2023년 발생한 사고의 경우 개인정보 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 지나 유출 신고를 하기도 했다”며 “사업자는 홈페이지에 처분받은 사실을 공표하도록 명령했다”고 말했다.