해피포인트 개인정보 유출, 14억 과징금 부과…이유는?
해피포인트 운영사인 섹타나인이 개인정보 보호법 위반으로 14억 원이 넘는 과징금을 부과받았습니다. 2022년과 2023년 두 차례에 걸쳐 해킹 공격으로 총 1만 7천여 명의 개인정보가 유출되었으며, 보안 대책 미흡과 유출 신고 지연 등이 주요 문제로 지적되었습니다. 이번 사건의 원인과 개인정보 보호의 중요성을 알아봅니다.
해피포인트 개인정보 유출 사건 개요
해피포인트 운영사, 두 차례 해킹 피해로 1만 7천여 명 정보 유출
해피포인트 멤버십 서비스를 운영하는 **섹타나인(파리바게뜨·배스킨라빈스 가맹점 이용 가능)**이 해킹 공격을 받으며 두 차례에 걸쳐 고객들의 개인정보가 유출되었습니다.
• 1차 유출 (2022년 10월) : 7,585명 개인정보 유출
• 2차 유출 (2023년 10월) : 9,762명 개인정보 유출
유출된 정보에는 이름, 아이디, 성별, 생년월일, 해피포인트 카드번호 등이 포함되었으며, 일부 이용자의 포인트가 무단으로 사용된 것으로 확인되었습니다.
개인정보보호위원회의 제재 결정
개인정보보호위원회(개인정보위)는 2024년 2월 12일 전체 회의를 열고, 섹타나인의 법 위반 사항을 검토한 후 아래와 같이 처벌을 결정했습니다.
• 과징금 14억 7,700만 원
• 과태료 720만 원
• 공표 명령 (해당 사실을 대외적으로 알릴 것)
개인정보 보호 미흡, 어떤 점이 문제였나?
1. 동일 IP에서의 대량 로그인 탐지·차단 미비
개인정보위는 섹타나인이 대규모 로그인 시도를 감지하거나 차단할 시스템을 마련하지 않았다고 지적했습니다. 해커는 이 취약점을 이용해 계정을 탈취하고 개인정보를 유출한 것으로 보입니다.
2. 개인정보 암호화 및 보호 조치 부족
이용자들의 개인정보 보호를 위한 암호화 조치가 충분하지 않았던 점도 문제가 되었습니다. 특히 포인트 도용까지 발생한 것은 보안 관리가 허술했다는 증거입니다.
3. 유출 사고 이후 재발 방지 조치 미흡
2022년 첫 번째 유출 이후 적절한 재발 방지 대책을 마련하지 않아, 이듬해 동일한 방식의 해킹이 반복되었습니다. 기업이 보안 강화를 소홀히 했다는 비판을 피할 수 없는 부분입니다.
4. 개인정보 유출 신고 지연
첫 번째 유출 사고 때는 제때 신고가 이루어졌지만, 두 번째 유출 사고는 유출 사실을 인지한 후에도 정당한 사유 없이 72시간이 지나서야 신고한 것으로 확인되었습니다. 이는 개인정보 보호법 위반 사항에 해당합니다.
과징금 부과의 법적 근거와 기업의 개인정보 보호 의무
개인정보 보호법 위반으로 과징금 14억 원
개인정보보호위원회는 섹타나인이 개인정보 보호법을 위반했다고 판단하여 과징금과 과태료를 부과했습니다.
▶ 개인정보 보호법 위반 사항
1. 제29조(안전조치 의무) 위반
• 기업은 개인정보를 보호하기 위해 기술적·관리적 조치를 취할 의무가 있습니다.
• 섹타나인은 대규모 로그인 시도 차단, 암호화, 보안 강화를 소홀히 해 해킹에 취약한 상태였습니다.
2. 제34조(개인정보 유출 통지 및 신고 의무) 위반
• 개인정보 유출 사실을 인지한 경우, 72시간 내에 피해자와 관계 기관에 신고해야 합니다.
• 그러나 두 번째 유출 사고에서는 신고가 지연되었고, 이는 법 위반 사항으로 인정되었습니다.
▶ 개인정보 보호 관련 처벌 기준
개인정보 보호법을 위반한 기업은 과징금, 과태료, 형사 처벌, 공표 명령 등의 제재를 받을 수 있습니다.
이번 섹타나인 사례처럼 보안 조치를 충분히 하지 않아 개인정보가 유출된 경우, 매출의 일정 비율을 기준으로 과징금이 부과될 수 있습니다.
개인정보 유출 방지, 기업과 이용자가 해야 할 일
기업이 지켜야 할 개인정보 보호 조치
개인정보 유출을 막기 위해 기업은 아래와 같은 조치를 철저히 해야 합니다.
1. 이상 로그인 감지 및 차단 시스템 구축
• 동일 IP에서 다수의 로그인 시도가 감지되면 자동 차단하는 시스템이 필요합니다.
• 이중 인증(2FA) 적용을 통해 계정 보안을 강화해야 합니다.
2. 개인정보 암호화 및 접근 제한
• 이용자 정보는 반드시 암호화하여 저장하고, 내부 접근 권한을 최소화해야 합니다.
• 해킹이 발생해도 유출된 데이터가 복호화되지 않도록 안전 조치를 강화해야 합니다.
3. 해킹 시도 탐지 및 신속한 대응 체계 구축
• 로그 기록 분석 및 실시간 모니터링 시스템을 운영해야 합니다.
• 유출이 발생하면 즉시 신고하고, 이용자에게 피해 보상 대책을 마련해야 합니다.
이용자가 할 수 있는 개인정보 보호 방법
이용자들도 개인정보 보호를 위해 스스로 보안 수칙을 지키는 것이 중요합니다.
▶ 1. 해킹 예방을 위한 계정 보안 강화
✅ 비밀번호를 주기적으로 변경하고, 동일한 비밀번호를 여러 사이트에서 사용하지 않기
✅ 가능하다면 이중 인증(2FA) 설정하여 보안 강화
✅ 의심스러운 로그인 시도가 감지되면 즉시 비밀번호 변경
▶ 2. 개인정보 최소 제공 원칙
✅ 서비스 가입 시 필수 정보만 입력하고, 불필요한 개인정보 제공하지 않기
✅ 이용하지 않는 계정은 즉시 탈퇴하여 해킹 위험 줄이기
▶ 3. 해킹 피해 발생 시 신속한 대응
✅ 내 정보가 유출되었는지 확인 후, 피해 신고 및 계정 보호 조치
✅ 금융정보가 유출되었다면 카드사 및 금융기관에 즉시 연락하여 피해 예방
해피포인트 개인정보 유출 사건이 주는 교훈
이번 사건은 기업과 이용자 모두에게 개인정보 보호의 중요성을 다시 한번 상기시키는 계기가 되었습니다.
✅ 기업은 개인정보 보호를 위한 철저한 보안 시스템을 구축해야 하며, 해킹 사고 발생 시 신속한 대응이 필수적입니다.
✅ 이용자는 자신의 계정과 개인정보를 보호하는 습관을 기르고, 보안이 강화된 서비스 이용을 우선적으로 고려해야 합니다.
해피포인트 사건은 단순한 해킹 사고가 아니라, 기업의 보안 의무와 개인정보 보호 조치가 얼마나 중요한지 보여주는 사례입니다. 앞으로도 유사한 사건이 발생하지 않도록, 모든 기업과 이용자들이 보안 강화를 위한 노력을 기울여야 할 것입니다.
