놀유니버스, 개인정보위에 개인정보 유출 신고
2016년 1030만명 개인정보 유출, 2023년 크리덴셜 스터핑 사고 불과 2년만

예스24 랜섬웨어 공격으로 보안 경각심이 높아지는 가운데, 국내 최대 티켓예매 플랫폼이자 여행 플랫폼인 놀 인터파크에서 개인정보 유출이 포착됐다.

2일 관련 업계에 따르면, 놀 인터파크를 운영하는 놀유니버스는 놀 인터파크 개인정보 유출과 관련해 개인정보보호위원회에 신고했다.

개인정보보호법에 따르면, 기업이나 기관 등 개인정보처리자는 1000명 이상의 정보주체에 관한 개인정보가 유출되거나, 민감정보 또는 고유식별정보가 유출된 경우 72시간 내 개인정보보호위원회에 신고해야 한다. 신고를 하지 않으면 3000만원 이하의 과태료가 부과된다.

앞서 2016년에도 야놀자에 인수되기 전 당시 인터파크에 해킹 사건이 일어나 1030만명의 개인정보가 유출된 바 있다. 이 사건으로 인터파크 고객 아이디와 이름, 생년월일, 주소, 전화번호 등이 유출됐다. 국가기관을 사칭한 피싱 이메일을 통한 악성코드 침입 방식의 공격이었으며, 당시 경찰은 북한 소행으로 결론지었다. 당시 인터파크는 45억원의 과징금을 물었다.

놀유니버스의 모회사 야놀자도 2019년 3월 해킹 사건으로 ‘야놀자펜션’ 앱 이용자 7만명의 정보가 유출된 바 있다. 2021년 클라우드 관리 소홀로 5만2000건 개인정보 유출이 발생하기도 했다.

이후 2023년 인터파크는 크리덴셜 스터핑 공격을 당해 78만4920건의 개인정보를 탈취당했다. 유출된 정보에는 이메일, 성별, 생년월일, 전화번호, 주소 등이 포함됐다. 당시 개인정보위는 인터파크에 10억2645만원의 과징금과 360만원의 과태료, 시정명령을 내렸다.

거듭되는 해킹 사고 후 불과 2년여 만에 또 다시 개인정보 유출 정황이 발생한 만큼, 놀유니버스는 보안 관리에 대한 비난을 면하기 어려워 보인다.

개인정보위는 이번 놀 인터파크 개인정보 유출 신고가 접수됨에 따라 조사 착수 여부 및 일정을 논의 중이다. 아직 유출 범위와 피해자 수는 확인 전이며, 조사가 진행됨에 따라 드러날 전망이다.

인터파크글로벌 관계자는 “개인정보 유출이 의심돼 개인정보위에 신고한 상태”라며 “현재 회사 차원에서 로그 분석 등 내부 파악을 진행하고 있다”고 밝혔다.

한편, 놀유니버스의 개인정보위 신고 접수가 확인된 현재 인터파크글로벌 웹사이트에는 7월 1일 오전 11시부터 점검으로 티켓 예매가 중단된다는 공지가 올라와 있다. 이 공지가 개인정보 유출과 관련된 것인지는 확인되지 않았다.

[출처 : 보안뉴스]