개인정보위, 5만명 개인정보 유출 ‘티머니’에 과징금 5억3400만원

반복 공격 등 이상행위 대응 소홀 1400여만원 2차 금전 피해도 발생 송경희 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 개최된 2026년 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 개인정보위 개인정보보호위원회가 해킹 사고로 5만1000여명의 개인정보를 유출하고 1400여 만원의 금전적 피해를 야기한 티머니를 상대로 5억3400만원의 과징금 조치를 내렸다. 개인정보위는 28일 제2회 전체회의를 열고 개인정보 보호법을 위반한 티머니에 이같은 과징금 부과와 시정명령 및 공표 명령을 의결했다고 29일 밝혔다. 티머니는 선불교통카드와 대중교통 요금 정산 등 서비스를 운영하는 기업이다. 티머니가 운영하는 ‘티머니 카드&페이’ 웹사이트는 지난해 3월 13일부터 25일까지 신원 미상의 해커로 부터 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 받았다. 이는 특정 방법으로 계정이나 비밀번호를 취득한 후에 다른 사이트에서도 이 정보를 적용해 성공할 때까지 로그인을 시도하는 해킹공격이다. 개인정보위는 지난해 4월 신고를 받아 조사에 돌입했다. 조사 결과에 따르면 위 기간 해커는 ‘티머니 카드&페이’ 웹사이트에 국내·외 9647개 아이피(IP) 주소를 사용해 1초 당 최대 131회, 1분당 최대 5265회 등 총 1226만 번 이상 대규모로 로그인을 시도했다. 이를 통해 5만1691명의 회원 계정으로 로그인에 성공해 개인정보가 포함된 웹페이지에 접근한 것으로 확인됐다. 해커는 로그인에 성공한 계정 중 4131명의 계정에서 잔여 T마일리지 약 1400만원을 선물하기 기능으로 탈취했다. 공격 기간의 일평균 로그인 시도 건수는 평시 대비 68배 높은 것으로 확인됐다. 티머니는 특정 IP 주소에서 이같은 비정상적인 이상 징후가 발생했에도, 침입 탐지나 차단 등 안전조치의무를 소홀히 해 개인정보가 유출됐다고 개인정보위는 판단했다. 개인정보위는 “최근 크리덴셜 스터핑 해킹 공격이 빈번하게 발생하는 만큼 비정상 접속 등 이상행위에 대한 침입 탐지·차단 조치를 포함한 보안대책을 점검·강화해야 한다”며 “개인정보 노출 페이지 내 개인정보 비식별화, 추가 인증 적용 등의 조치가 추가 사고 예방에 도움이 될 수 있다”고 강조했다.