㈜섹타나인 (SPC 해피포인트)

유출된 개인정보 항목

사고 경위

신원미상의 해커가 2022년 10월 5일부터 11일까지 해피포인트 앱에 크리덴셜 스터핑 공격(사전 확보한 아이디·비밀번호 무작위 대입)을 시도하여 7,585명의 개인정보를 탈취했다. 이 중 일부 이용자의 해피포인트가 무단 사용되는 2차 피해도 발생했다. 이후 2023년 10월 30일부터 11월 3일 동안 동일한 방식의 공격이 재발하여 9,762명의 개인정보가 추가로 유출됐다.

조사 결과 섹타나인은 동일 IP에서 짧은 시간 내 대규모 로그인 시도(1차: 1분당 최대 5,063회, 2차: 1분당 최대 11,918회)를 탐지·차단하는 대책을 마련하지 않았으며, API 응답값에 포함된 개인정보에 대한 암호화 조치도 소홀히 했다. 1차 사고 이후 재발방지 대책을 충분히 마련하지 않아 동일 방식으로 2차 사고가 발생했다. 2023년 발생한 2차 사고의 경우 유출 인지 후 72시간을 초과하여 유출 통지·신고한 사실도 확인됐다.

개인정보보호위원회는 2025년 2월 12일 제3회 전체회의에서 안전조치 의무 위반 및 유출 통지·신고 지연을 이유로 과징금·과태료를 부과하고 공표를 명령했다.

처분 결과

과징금 14억 7,700만 원, 과태료 720만 원, 공표명령