‘해피포인트’ 서비스를 운영하는 섹타나인이 개인슬롯 머신 유출로 과징금을 물게 됐다.

개인슬롯 머신보호위원회는 지난 12일 제3회 전체회의를 열고 개인슬롯 머신보호법을 위반한 섹타나인에 대해 과징금 14억7700만원과 과태료 720만원을 부과하고 공표 명령하기로 의결했다고 13일 발표했다.

섹타나인은 SPC그룹의 슬롯 머신기술(IT) 서비스와 마케팅 솔루션 계열사로 파리바게뜨, 배스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하고 있다.

개인슬롯 머신위는 개인슬롯 머신 유출 신고에 따라 조사를 실시했다. 섹타나인이 개인슬롯 머신보호법에 따른 안전조치 의무를 소홀히 하고 유출 통지 및 신고를 지연한 사실도 확인했다.

섹타나인이 운영하는 해피포인트 앱에 해커가 2022년 10월 5일부터 11일 동안 ‘크리덴셜 스터핑’ 공격을 시도해 로그인에 성공했다. 크리덴셜 스터핑은 사전 확보한 다수 아이디, 비밀번호를 무차별 대입해 접속을 시도하는 공격 방식이다. 서버에서 로그인 성공 시 응답값을 이용자에게 회신하는 응용프로그램 프로그래밍 인터페이스(API)를 통해 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 7585명의 개인슬롯 머신를 탈취했다. 일부 이용자의 해피포인트를 무단 사용하는 2차 피해도 발생했다. 다음 해인 2023년 10월 30일부터 11월 3일까지 동일 방식의 해킹 공격을 또다시 겪었다. 그 결과 9762명의 개인슬롯 머신가 추가 유출됐다.

섹타나인은 이 과정에서 고객슬롯 머신 보호를 위한 충분한 조치를 하지 않은 것으로 나타났다. 짧은 시간 동안 동일 IP 주소에서 대규모 로그인 시도가 발생하는 경우 이를 탐지하거나 차단할 수 있는 대책을 마련하지 않았다. 1차 해킹 당시 동일 IP에서 분당 최대 5063회의 로그인 시도가, 2차 해킹에선 분당 최대 1만1918회의 로그인 시도가 있었다.

API 응답값에 포함된 개인슬롯 머신를 보호하기 위한 암호화 조치도 소홀했던 것으로 드러났다. 최초 유출 사고 이후에도 재발 방지 대책을 마련하지 않았다. 2차 해킹의 경우 개인슬롯 머신 유출 사실을 인지한 시점부터 정당한 사유 없이 72시간을 지나 유출 통지와 신고를 한 사실도 확인됐다.

개인슬롯 머신위는 “개인슬롯 머신를 처리하는 사업자의 경우 운영 중인 시스템에 대한 안전조치를 철저히 하고, 사고가 이미 발생한 경우에는 재발하지 않도록 각별한 노력을 기울여 달라”고 당부했다.

이승우 기자 leeswoo@hankyung.com