[하비엔뉴스 = 홍세기 기자] 온라인 여행·여가 플랫폼의 대표 주자인 야놀자와 인터파크트리플이 손잡고 설립한 통합 법인 '놀유니버스(NOL Universe)'가 출범한지 6개월이 지난 가운데, 외국인을 대상으로 하는 플랫폼인 인터파크글로벌에서 개인정보 유출 사고가 발생했다.
3일 보안업계에 따르면, 놀유니버스는 지난 2일 개인정보보호위원회에 개인정보 유출 신고를 접수했다.
 |
| 놀유니버스 |
개인정보보호법에 따르면, 기업이나 기관 등 개인정보처리자는 1000명 이상의 정보주체에 관한 개인정보가 유출되거나, 민감정보 또는 고유식별정보가 유출된 경우 72시간 내 개인정보보호위원회에 신고해야 한다. 신고를 하지 않으면 3000만원 이하의 과태료가 부과된다.
인터파크글로벌 관계자는 "개인정보 유출이 의심돼 개인정보위에 신고한 상태다"라며 "현재 회사 차원에서 로그 분석 등 내부 파악을 진행하고 있다"고 밝혔다.
반복되는 사고
이번 사고는 인터파크의 여러 차례 개인정보 유출 사고 중 최신 사례로, 특히 2023년 크리덴셜 스터핑 공격 이후 불과 2년 만에 재발한 것이어서 관심을 끌고 있다.
지난 2016년 야놀자 인수 이전 당시 인터파크에서 해킹 사건 발생해 1030만명의 개인정보가 유출된 바 있따. 국가기관을 사칭한 피싱 이메일을 통한 악성코드 침입이 원인이었으며, 당시 경찰은 북한 소행으로 결론지었다. 인터파크는 45억원의 과징금을 부과받았다.
이후 2019년에도 야놀자(놀유니버스의 모회사)에서 '야놀자펜션' 앱 이용자 7만명의 정보 유출된 바 있다.
또 2021년에는 야놀자 클라우드 관리 소홀로 5만2000건 개인정보 유출됐다.
2023년에는 인터파크가 크리덴셜 스터핑 공격을 받아 78만4920건의 개인정보 탈취됐으며 유출된 정보에는 이메일, 성별, 생년월일, 전화번호, 주소 등이 포함됐다. 개인정보위는 인터파크에 10억2645만원의 과징금과 360만원의 과태료, 시정명령을 내렸다.
놀유니버스의 개인정보위 신고 접수가 확인된 가운데, 인터파크글로벌 웹사이트에는 지난 1일 오전 11시부터 점검으로 티켓 예매가 중단된다는 공지가 올라와 있다. 이 공지가 개인정보 유출과 관련된 것인지는 확인되지 않았다.
이번 사고는 예스24 랜섬웨어 공격으로 보안 경각심이 높아진 상황에서 발생했다. 예스24는 지난 6월 9일 랜섬웨어 공격을 받아 5일간 서비스가 중단되는 사태를 겪었다. 이로 인해 도서 주문, 전자책 열람, 공연 예매 등 서비스가 전면 마비된 바 있다.
개인정보보호위원회는 이번 인터파크 개인정보 유출 신고가 접수됨에 따라 조사 착수 여부 및 일정을 논의 중이다. 아직 유출 범위와 피해자 수는 확인되지 않았으며, 조사가 진행됨에 따라 드러날 전망이다.
거듭되는 해킹 사고 후 불과 2년여 만에 또 다시 개인정보 유출 정황이 발생한 만큼, 놀유니버스는 보안 관리에 대한 비난을 면하기 어려워 보인다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
