![[서울=뉴시스] 추상철 기자 = 이정은 개인정보보호위원회 조사2과장이 10일 오후 서울 종로구 정부서울청사에서 개인정보 보호조치에 대한 개선권고에 관한 브리핑을 하고 있다. 이날 개인정보위는 쿠팡에 이용약관 및 회원탈퇴 절차 개선, 통지 및 2차 피해 대책 보완 촉구를 의결했다. 2025.12.10. scchoo@newsis.com /사진=추상철](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2026/01/2026012908420062540_1.jpg)
5만여명의 개인정보가 유출된 티머니에 5억원대 과징금이 부과됐따.
개인정보보호위원회는 지난 28일 제2회 전체회의를 열고, '개인정보 보호법'을 위반한 ㈜티머니에 총 5억3400만원의 과징금을 부과하고 시정명령·공표 명령하기로 의결했다고 29일 밝혔다.
개인정보위는 지난해 4월 접수된 개인정보 유출 신고에 따라 조사한 결과, 티머니가 '개인정보 보호법'에 따른 안전조치 의무를 소홀히 한 것으로 확인했다.
티머니는 선불교통카드 및 대중교통 요금 정산 등 서비스를 운영하는 사업자로, '티머니 카드&페이' 웹사이트에 신원 미상의 해커가 지난해 3월 13~25일 '크리덴셜 스터핑(Credential Stuffing)' 공격 방법으로 침입해 5만1691명의 개인정보(이름, 이메일 주소, 휴대폰 번호, 주소)를 유출했다.
크리덴셜 스터핑은 공격자가 어떤 방법을 통해 계정·비밀번호 정보를 취득한 후 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 해킹 공격이다. 로그인 시도 횟수와 로그인 실패율이 급증하는 특징이 있다.
개인정보위 조사 결과, 해당 기간 해커는 '티머니 카드&페이' 웹사이트에 국내·외 9647개 아이피(IP) 주소를 사용해 1초당 최대 131회, 1분당 최대 5265회, 총 1226만 번 이상 대규모로 로그인을 시도했다. 이 중 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다. 이 기간 공격 기간의 일평균 로그인 시도 건수는 평시 대비 68배 높은 것으로 확인됐다.
이 과정에서 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 'T마일리지' 약 1400만원을 선물하기 기능으로 탈취해 추가 피해가 발생한 것으로 나타났다.
티머니가 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 이상 징후가 발생했음에도, 이에 대한 침입 탐지·차단, 이상행위 대응 등 안전조치의무를 소홀히 한 탓에 개인정보 유출 피해로 이어진 것으로 파악됐다.
개인정보위는 티머니에 과징금 5억3400만원을 부과하고, 사업자 홈페이지에 사실을 공표하도록 명령했다. 아울러 구체적인 재발방지 대책을 수립·시행하도록 시정조치 명령했다.
개인정보위는 최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화할 것을 당부했다. 개인정보 노출 페이지 내 개인정보 비식별화, 개인정보 포함 페이지 접근 시 추가 인증 적용 등의 조치가 추가적인 사고 예방에 도움이 될 수 있다고 강조했다.