[디지털데일리 김보민기자] 개인정보 유출 사고가 발생한 티머니가 담당기관에 신고를 완료한 것으로 확인됐다. 피해 규모의 경우 자체적으로 집계가 끝났으나, 담당기관의 사실관계 파악이 필요한 만큼 당장 공개가 어렵다는 입장이다.

14일 보안업계에 따르면, 티머니는 지난 12일 '개인정보 유출(의심) 관련 안내'라는 이름으로 공지문을 올렸다. 공지에 따르면, 신원 불상의 공격자는 사전에 수집한 것으로 추정되는 고객 계정 정보를 이용해 티머니 홈페이지에 로그인을 시도했다. 공격자는 해외 인터넷프로토콜(IP)을 통해 홈페이지에 접근했다.

유출된 것으로 추정되는 고객 개인정보는 이름과 이메일이다. 아울러 주소와 휴대폰번호를 입력한 이력이 있을 경우 주소와 휴대폰번호 등 추가 정보 또한 탈취됐을 것으로 파악된다.

이와 관련해 티머니 측은 한국인터넷진흥원(KISA)을 비롯한 담당 기관에 사고 사실을 신고했고, 자세한 사고 경위와 피해 규모는 기관 승인 이후 공유가 가능하다고 설명했다. 자체 집계는 완료했으나, 추정이 아닌 확정된 규모를 이야기하기 위해 기관의 판단이 필요하다는 취지다. 아울러 이번 사고에 활용된 공격 기법으로 크리덴셜 스터핑을 거론했는데, 이 또한 추정이지 확정된 내용은 아니라는 설명이다.

크리덴셜 스터핑은 여러 경로를 통해 수집한 아이디와 패스워드를 특정 사이트에 무작위 대입해 로그인한 후, 개인정보를 수집하는 수법이다. 올 초 개인정보 유출 사고가 발생했던 GS리테일 또한 크리덴셜 스터핑의 피해를 입은 것으로 알려졌다. 크리덴셜 스터핑은 개인정보를 수집해가는 기본 방법이기 때문에 2·3차 피해를 배제할 수 없는 상황이다.

크리덴셜 스터핑의 경우 로그인 실패 등 이상행위로 이어지기 때문에, 사전에 보안 조치가 강화됐다면 일부 대응이 가능하다. 가상사설망(VPN), 프록시, 호스팅 등 우회 IP 주소를 식별하거나, 허가하지 않은 지역의 접속 시도를 탐지하는 방식이다. 이상행위나 이상 사용자를 감지하는 것 또한 사전 대응 전략 중 하나다.

이와 관련해 티머니는 외부 공격을 확인한 즉시 관련 IP를 차단하고 비밀번호 초기화, 캡차(CAPTCHA·실제 사람과 컴퓨터 프로그램을 구별하는 기술) 및 본인인증을 적용하고 모니터링을 강화하고 있다고 설명했다. 다만 해당 조치가 자동화돼 있는지 등의 여부는 확인이 필요하다는 입장이다.

티머니는 "예상치 못한 일이 발생한 데 대해 진심으로 사과드린다"며 "고객님의 소중한 개인정보를 보호하기 위해 최선을 다하겠다"고 말했다. 아울러 개인정보 유출 등으로 손해가 발생했다면 개인정보 분쟁조정위원회에 분쟁 조정을 신청할 수 있다고 안내했다.