(주)동행복권

유출된 개인정보 항목

사고 경위

신원미상의 해커가 2023년 11월 4일부터 5일까지 동행복권 웹사이트의 '비밀번호 변경 기능'에 존재하는 보안 취약점을 악용했다. 해커는 회원 아이디 목록을 사전에 확보한 뒤, 비밀번호 변경 페이지에서 인증받은 아이디가 아닌 다른 아이디로 입력을 조작하면 해당 아이디의 비밀번호가 변경되는 취약점을 이용해 약 75만 명의 계정 비밀번호를 임의로 변경하고 로그인에 성공했다.

조사 결과 동행복권은 '비밀번호 변경 기능' 설계·구현 시 이용자 인증 관련 보안 취약점을 점검·개선하지 않았으며, 해커의 과도한 접속 시도 등 이상행위 탐지·차단 안전조치도 미흡했던 것으로 확인됐다.

개인정보보호위원회는 2025년 1월 22일 제2회 전체회의에서 안전조치 의무 위반(접근통제, 암호화)을 이유로 과징금·과태료를 부과하고 공표를 명령했다.

처분 결과

과징금 5억 300만 원, 과태료 480만 원, 공표명령