SK스토아ㆍ동행복권 사고 개요와 배경
이번 사건은 2023년 11월을 전후로 발생한 크리덴셜 스터핑 및 비밀번호 변경 취약점 공격으로, 피해 규모와 해킹 기법 측면에서 업계와 소비자들에게 큰 충격을 안겼다. 개인정보위 발표에 따르면 SK스토아 온라인 쇼핑몰 웹사이트는 2023년 11월 14일부터 21일까지 해커가 크리덴셜 스터핑 기법을 통해 무려 12만 5,000여 명의 회원 계정에 침입한 것으로 확인됐다. 크리덴셜 스터핑은 이미 다른 경로로 유출된 계정·비밀번호 정보를 여러 사이트에 무차별 대입해 로그인이 성공할 때까지 시도하는 공격을 말한다. 특히 1초당 최대 372회의 로그인이 시도되고, 누적 4,400만 건 이상 로그인 요청이 발생했음에도 초기에 차단하지 못해 피해가 커졌다.
동시에 동행복권도 동일한 기간 전후로 대규모 개인정보 유출 사건을 겪었다. 그러나 이쪽은 크리덴셜 스터핑 대신, 복권 통합포털 웹사이트 비밀번호 변경 기능에 존재하는 인증 취약점을 해커가 악용했다. 구체적으로 공격자는 미리 확보한 회원 아이디(ID) 목록으로 비밀번호 변경 페이지에 접근해, 인증받은 아이디가 아님에도 다른 사용자 계정의 비밀번호를 임의로 재설정하여 로그인에 성공하는 형태였다. 그 결과 2023년 11월 4~5일 양일간 약 75만 건에 달하는 개인정보가 외부로 유출됐다는 점에서 파장이 컸다.
이번 유출 사고들이 특히 주목을 받는 이유는 두 회사 모두 대형 플랫폼으로서, 다수 소비자가 일상적으로 이용하는 서비스라는 점이다. SK스토아는 TV 홈쇼핑 및 온라인 쇼핑몰을 운영하며 폭넓은 고객 정보를 보유하고 있고, 동행복권은 복권·로또 관련 서비스로서 회원 가입자 수가 상당히 많다. 즉, 단순 가입자 수만 놓고 봐도 매우 많은 이들이 해킹 피해 가능성에 노출되어 있었으며, 유출된 개인정보가 악용될 경우 심각한 2차 범죄로 이어질 우려가 크다.
개인정보위는 이번 브리핑에서 “최근 크리덴셜 스터핑 등 해킹공격이 빈번하게 발생하고 있다”며, 기업과 공공기관 모두 웹사이트 로그인 시도 횟수 폭증 등 이상행위를 신속히 감지할 수 있는 탐지·차단 체계를 구축해야 한다고 강조했다. 로그인 실패율이 이례적으로 높아지는 패턴을 조기에 파악해 IP를 차단하거나 추가 인증 절차를 요구하는 등의 대응이 필수적이라는 뜻이다.
해킹 기법: 크리덴셜 스터핑과 비밀번호 변경 취약점의 특징
크리덴셜 스터핑: 대규모 로그인 시도로 인한 계정 탈취
크리덴셜 스터핑은 이미 여러 해킹 사례에서 빈번히 등장하는 공격 방식이다. 공격자는 공개된 데이터베이스 침해나 피싱 등을 통해 대량의 계정·비밀번호 목록을 확보하고, 이를 무차별적으로 다른 사이트에 입력해본다. 성공적으로 로그인되는 계정이 있다면 그 계정에 연결된 개인정보나 결제 정보 등을 탈취할 수 있게 된다. 이 공격이 특히 성행하는 이유는 사용자가 여러 사이트에서 같은 아이디와 비밀번호 조합을 사용하기 때문이다. 로그인 실패율이 높아지며 1초당 수백 회 이상의 로그인 시도가 감지되면, 보안 시스템이 이를 자동 차단해야 하지만, SK스토아의 경우 공격 기간 중 평시 대비 1,000배 이상 급증한 로그인 시도를 제때 인지하지 못해 사태가 커졌다.
비밀번호 변경 취약점: 인증 절차 결함으로 인한 무단 재설정
동행복권 해킹은 크리덴셜 스터핑과 달리, ‘비밀번호 변경 페이지’ 자체에 존재하는 보안 취약점을 노린 것이다. 정상적이라면 인증받은 아이디만 비밀번호를 변경할 수 있어야 하지만, 해커는 임의로 다른 아이디를 입력해도 비밀번호가 재설정되도록 코드를 조작했다. 이렇게 설정된 새 비밀번호로 해당 계정에 로그인하면, 모든 개인정보 및 사용 이력이 노출되게 된다. 사실상 계정 탈취와 다름없는 심각한 문제다. 이는 간단한 소스코드 검증이나 모의해킹 테스트만으로도 발견할 수 있는 취약점이므로, 사전에 충분히 방지할 수 있었다는 점에서 더욱 안타까움을 준다.
최근 공격 동향과 기업 보안 의무
정보보안 업계에 따르면, 크리덴셜 스터핑과 비밀번호 변경 취약점 같은 공격이 최근 들어 더욱 기승을 부리는 추세다. 이유는 크게 세 가지로 요약될 수 있다. 첫째, 사람들의 비밀번호 재사용 습관으로 인해 한번 유출된 정보가 여러 사이트로 빠르게 확산되는 구조다. 둘째, 자동화 도구(봇)가 발전해 해커가 한 번에 수백만 건씩 로그인을 시도해도 큰 비용이 들지 않는다. 셋째, 기업이 침입탐지시스템(IDS)이나 웹방화벽(WAF) 같은 주요 보안 솔루션을 도입했더라도, 실시간 로그 분석 및 공격 패턴 차단 정책을 제대로 적용하지 않으면 무용지물이 되기 쉽다.
따라서 대형 온라인 플랫폼이나 전자상거래 서비스를 운영하는 회사는, 평소에도 ‘로그인 실패 횟수 급증’이나 ‘특정 IP 주소의 과도한 접속 시도’를 주기적으로 모니터링해 차단해야 한다. 또한 비밀번호 변경 같은 핵심 기능에 대해서는 사용자 인증 논리를 여러 겹으로 점검하고, 웹 애플리케이션 취약점을 정기적으로 점검해야 한다.
개인정보위 조사 결과와 과징금 부과 배경
개인정보위는 이번 사건에 대해 “SK스토아와 동행복권 모두 안전조치의무를 소홀히 했다”고 결론지으며 과징금 및 과태료를 부과했다. 이는 개인정보 보호법 제29조(안전조치의무) 등을 위반한 것으로 간주돼, 회사별로 상당히 무거운 처벌을 받게 된 사례다.
- SK스토아:
- 과징금: 14억 3,200만 원
- 과태료: 300만 원
- 위반 사항: 대규모 크리덴셜 스터핑 공격(1초당 최대 372회, 4,400만 번 로그인 시도)을 적시에 차단하지 못함. 로그인 성공 계정 12만 5,000여 건의 개인정보 유출. 일부 웹페이지에서 이용자 비밀번호가 평문 상태로 전송되는 문제도 함께 발견됨.
- 동행복권:
- 과징금: 5억 300만 원
- 과태료: 480만 원
- 위반 사항: 비밀번호 변경 기능에서 인증 관련 취약점 방치. 해커가 다른 아이디 비밀번호를 임의로 변경해 약 75만 명의 개인정보가 유출됨. 해커의 과도한 접속 시도 등에 대한 안전조치가 부족했다는 지적.
아래 표는 두 회사의 주요 위반 사항 및 과징금 내역을 요약한 것이다.
| 구분 | 해킹 기법 | 유출 규모 | 과징금/과태료 | 추가 적발 사항 |
|---|---|---|---|---|
| SK스토아 | 크리덴셜 스터핑 | 12만 5천여 건 | 과징금 14억 3,200만 원, 과태료 300만 원 | 일부 비밀번호 평문 전송 |
| 동행복권 | 비밀번호 변경 취약점 공격 | 75만 건 | 과징금 5억 300만 원, 과태료 480만 원 | 보안 취약점 점검 불량, 과도한 접속 탐지 미흡 |
(표 1) SK스토아·동행복권 개인정보 유출 사고 비교
개인정보위는 이와 함께 양사 모두 ‘공표 명령’을 내렸다. 이는 사고 사실과 법 위반 내용을 대중에게 공개해, 해당 기업이 보안 투자와 서비스 개선에 더 큰 책임감을 갖도록 하는 조치다. 또한 두 회사가 해킹을 발견한 뒤 각각 임시 조치(로그인 방식 변경, 비정상 접속 차단, 취약 코드 수정 등)를 신속히 진행한 점은 인정했으나, 이미 대규모 데이터가 유출된 뒤였다는 점에서 엄중한 처벌이 불가피했다고 밝혔다.
한편, SK스토아와 동행복권은 개인정보위 결정에 따라 과징금과 과태료를 납부해야 하며, 향후 유사 사태 재발 방지책을 강화하겠다는 입장을 내놓았다. 그러나 업계에서는 “과징금 부과만으로는 대규모 해킹 사고가 반복되는 문제를 근본적으로 해결하기 어렵다”는 목소리도 나온다.
웹사이트 보안 강화와 재발 방지 과제
정보보안 전문가들은 이번 사건이 단순한 회사별 보안 실수에 그치지 않고, 국내 전자상거래·공공 웹사이트 전반에 나타나는 문제점을 상징적으로 드러낸다고 지적한다. 커다란 이슈가 될 때마다 과징금을 부과하고 대책을 세우지만, 시간이 지나면 유사한 사고가 다시 터지는 악순환이 반복된다는 것이다. 이를 방지하기 위해서는 아래와 같은 핵심 대응 과제들이 제도와 현장에서 체계적으로 이행되어야 한다.
- 이상 로그인 시도 자동 탐지 강화
- 크리덴셜 스터핑 공격을 막기 위해서는, 1초당 일정 횟수 이상 로그인 시도가 발생하면 해당 IP를 즉시 차단하거나 추가 인증(예: CAPTCHA)을 요구하는 설정이 필수적이다. AI 기반 실시간 모니터링 시스템을 도입해 로그인 실패율이 급증하는 패턴을 조기 탐지할 수 있도록 해야 한다.
- 비밀번호 변경 등 핵심 기능 보안 점검 의무화
- 동행복권 사례처럼 비밀번호 변경 프로세스에서 인증 취약점이 발견되는 일은 중대한 결함이다. 향후 모든 온라인 서비스는 비밀번호 변경, 결제 등 민감 기능에 대해 주기적 모의해킹과 소스코드 취약점 검증을 의무화할 필요가 있다.
- 평문 전송 전면 금지와 암호화 가이드라인 준수
- SK스토아에서 일부 페이지가 여전히 비밀번호를 평문으로 전송했다는 점은 심각한 보안 위반이다. 비밀번호뿐 아니라 모든 개인정보 처리 과정에서 TLS/SSL 암호화, 해시(단방향 암호화) 등이 기본 원칙으로 준수되어야 한다.
- 사용자 측 보안 인식 제고
- 웹사이트 운영사만 보안을 강화해서는 한계가 있다. 실제로 크리덴셜 스터핑이 통하는 이유는 사용자들이 동일한 비밀번호를 여러 곳에서 재사용하기 때문이다. 비밀번호를 주기적으로 변경하고, 2단계 인증(2FA) 등을 적극적으로 도입·활용하는 습관을 기르는 것이 중요하다.
- 개인정보위·정부 차원의 제재 범위 및 방식 재검토
- 과징금 부과 외에도, 특정 기간 서비스 중단, 책임자 형사 처벌 등 다양한 수단을 검토해야 한다는 의견이 있다. 기업의 주의와 투자를 현실적으로 촉구할 수 있는 실효성 있는 규제가 필요하다는 지적이다.
전문가들은 향후 전자상거래 규모가 더욱 커지고, 오프라인 업종마저 디지털 전환을 가속화함에 따라 이러한 대규모 해킹 시도가 계속될 것으로 예상한다. 이에 따라 기업과 공공기관이 자체 보안 인프라를 제대로 갖추지 않는다면, 이번과 유사한 개인정보 유출 사고가 반복될 가능성이 높다는 점에서 경각심을 가져야 한다고 강조한다.