개인정보위, 안전조치 의무 위반 2개 사업자에 19억 4,280만 원 과징금·과태료 부과
개인정보위, 안전조치 의무 위반 2개 사업자에 19억 4,280만 원 과징금·과태료 부과
개인정보위, 안전조치 의무 위반 2개 사업자에 19억 4,280만 원 과징금·과태료 부과- 크리덴셜 스터핑 공격 방지를 위한 이용자 인증(ID·PW 등) 보안 철저 및이상행위 - 정책브리핑 | 브리핑룸 | 보
www.korea.kr
개인정보委, 개인정보 유출 SK스토아·동행복권에 과징금 부과 - 데이터넷
개인정보委, 개인정보 유출 SK스토아·동행복권에 과징금 부과 - 데이터넷
[데이터넷] 2023년 크리덴셜 스터핑으로 12만5000여명의 개인정보를 유출시킨 SK스토아에 14억3500만원의 과징금과 과태료가 부과됐다. 개인정보보호위원회는 22일 전체회의를 열고 SK스토아에 과징
www.datanet.co.kr
- 사건 개요
- SK스토아와 동행복권은 2023년 개인정보 유출 사고에 대해 개인정보보호위원회(개인정보위)로부터 각각 과징금과 과태료를 부과받음
- 과징금: SK스토아 14억 3,200만 원, 동행복권 5억 300만 원
- 과태료: SK스토아 300만 원, 동행복권 480만 원
- 사건의 주요 원인
- SK스토아는 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 12만 5천여 명의 개인정보가 유출됨
- 공격: 공격자는 1초당 최대 372회, 총 4,400만 번 이상 로그인을 시도하며, 비밀번호 암호화가 이루어지지 않은 상태에서 개인정보가 유출됨
- 보안 미비: 대량 로그인 시도 및 비정상적인 접속 시도에 대한 침입 탐지 및 차단이 미비했음
- 동행복권은 회원 비밀번호 변경 기능에 대한 보안 취약점으로 75만 명의 개인정보가 유출됨
- 취약점: 비밀번호 변경 페이지에서 다른 아이디로 비밀번호 변경이 가능했던 취약점을 악용한 해커가 회원 정보를 유출
- 보안 미비: 이상행위 탐지 및 차단 조치 부족
- SK스토아는 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 12만 5천여 명의 개인정보가 유출됨
- 법적 제재
- SK스토아는 개인정보 유출 사고 후, 비정상적인 로그인 시도에 대한 보안 정책을 강화하고, 유출된 이용자의 계정 초기화 및 기존 로그인 방식 변경 등의 조치를 취함
- 동행복권은 사고 발생 후, 홈페이지 임시 폐쇄 및 계정 비밀번호 초기화 등의 시정 조치를 시행
- 개인정보위는 크리덴셜 스터핑 공격과 같은 해킹 공격이 빈번하게 발생하는 상황에서 이상행위 탐지 및 차단 조치 강화와 이용자 인증 관련 취약점 점검을 당부
- 결론
- 개인정보보호위원회는 이번 사건을 통해 기업의 개인정보 보호 책임을 명확히 하고, 온라인 보안 강화를 촉구
- 기업들이 이상행위 탐지 및 차단과 보안 취약점 개선에 더욱 신경 써야 함을 강조
- 크리덴셜 스터핑과 같은 해킹 공격을 예방하기 위한 보안 강화가 필수적임
'Kant's IT > 개인정보위원회 제재 사항' 카테고리의 다른 글
| 카카오페이와 애플의 개인정보 무단 국외 이전에 따른 과징금 부과 및 시정명령 (0) | 2025.01.31 |
|---|---|
| 다이렉트 자동차보험 판매 손해보험사의 개인정보 보호법 위반 사례와 조치 (0) | 2025.01.02 |
| 개인정보 보호법 위반 사례: 쿠팡의 배달원 및 고객 정보 유출 사건 (2) | 2024.12.02 |
| 개인정보위원회 제재 현황 리스트('24.06.27 ~ '24.08.29) (0) | 2024.09.17 |
| 2024.06.27. 개인정보위, 개인정보보호 법규 위반 사업자 제재 (1) | 2024.09.17 |