보안

여성 패션 쇼핑앱 ‘브랜디’, 개인정보 639만건 유출로 과징금 3.8억원

이종현
13일 제12회 개인정보위 전체회의 진행 중인 윤종인 위원장
13일 제12회 개인정보위 전체회의 진행 중인 윤종인 위원장
[디지털데일리 이종현기자] 여성 패션 쇼핑 애플리케이션(앱) 브랜디의 고객정보 639만여건이 유출됐다. 클라우드 관리 및 개인정보관리 소홀로 인한 대규모 유출이다.

13일 개인정보보호위원회(이하 개인정보위)는 브랜디로부터 639만여건의 고객 개인정보가 유출됐다고 발표했다. 해커가 브랜디의 클라우드 서비스, 아마존웹서비스(AWS)의 접근권한(Access Key)을 활용해 개인정보처리시스템에 접근해 정보를 훔쳐냈다는 설명이다.

유출이 발생한 것은 2021년 8월경이다. 브랜디는 2021년 10월 유출 가능성에 대해 인지, 고객들에게 관련 내용을 공지했다. 9개월여 만에 조사 결과가 나온 셈이다.

개인정보위에 따르면 브랜디는 클라우드의 개인정보처리시스템에 대한 접속권한을 IP 등으로 제한하지 않았다. 또 탈퇴한 개인정보를 파기하지 않고 보관함에 따라 피해 규모를 키웠다.

유출된 정보는 ID, 암호화된 비밀번호, 이메일 등이다. 당시 브랜디는 ▲이메일 ▲전화번호 ▲생년월일 ▲성별 ▲이름 ▲암호화된 비밀번호 등 400만여건에 더해 ID를 포함하면 총 660만여건의 유출이 발생했다고 밝혔다. 다만 개인정보위 조사 결과 실제 유출된 것은 아이디, 암호화된 비밀번호, 이메일이다. 해당 건으로 인한 2차 피해는 아직 확인되지 않았다.

개인정보위는 브랜디의 법령 위반 행위가 과중한 것으로 판단, 과징금 3억8900만원과 과태료 780만원을 부과했다고 밝혔다.

양청삼 개인정보위 조사조정국장은 “개인정보처리시스템 취약점을 이용한 해커의 공격으로 개인정보 유출사고가 지속적으로 발생하고 있다”며 “개인정보처리시스템을 운영하는 사업자는 안전한 인증수단을 적용하여야 하고, 보안 취약점을 주기적으로 확인하는 등 시스템에 대한 불법적인 접근이 발생하지 않도록 안전조치 의무를 준수하여야 한다”고 강조하였다.

한편 개인정보위는 이날 브랜디 외 4개 사업자에 대해서도 제재했다. 에스테크엘이디, KB손해보험, DBMnS, 분양 대행 홈페이지를 운영하는 김OO 씨 등으로, 1900만원의 과태료가 부과됐다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널