개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다. 

[5.12.(월). 발행] 

크리덴셜 스터핑 공격으로 개인정보 유출되면 무조건 과징금 처분받나?

  최근 각종 기관 및 기업 등을 대상으로 한 크리덴셜 스터핑 공격이 급증하고 있습니다. 일각에서는 완벽한 사전 차단이 어려운 크리덴셜 스터핑 공격을 받을 경우 언제나 개인정보 보호법 위반으로 과징금 처분을 받게 되는 것은 아닌지 우려를 제기하기도 합니다. 해킹 수법의 한 종류인 크리덴셜 스터핑 공격으로 개인정보가 유출된 경우 항상 과징금 등 처분을 받게 되는 걸까요? 

  크리덴셜 스터핑(Credential Stuffing)은 이용자가 여러 사이트에서 같은 아이디와 비밀번호를 사용하는 취약점을 악용한 해킹 수법입니다. 공격자는 다크웹 등에서 이미 유출된 이용자 계정·비밀번호 등을 취득한 후, 이를 이용자가 이용할 만한 사이트에 동일하게 입력해 로그인을 시도합니다. 단순하지만 효과적인 공격방법이며, 최근에는 자동화된 해킹 도구가 발달하면서 각종 기관 및 기업들을 대상으로 한 공격이 더욱 늘어나고 있습니다. 

 ※ 크리덴셜 스터핑에 대한 보다 상세한 내용은 1편  ‘해킹사고로 바라본 개인정보 유출 1부’(‘24.9.2 발행)에서 확인할 수 있습니다. 

 크리덴셜 스터핑 공격으로 이용자 개인정보가 유출된 기업이 이상행위 탐지·차단과 공격 대응 및 후속조치를 적절히 취하지 않은 경우 개인정보 보호법 위반으로 과징금 등의 행정처분을 받게 됩니다. 그런데 이 공격 방법은 공격자가 이미 유출된 계정정보로 침입을 시도하는 만큼 사전 대응이 어려워 구체적으로 어느 정도의 로그인 시도나 이상징후가 있을 때 탐지·차단 등의 조치를 취해야 하는지, 기타 사전·사후 대응책으로 어떤 조치를 취해야 하는지가 쟁점이 되고 있습니다.  

크리덴셜 스터핑 공격과 관련된 법원의 판단(서울고등법원 2020. 11. 4., 선고 2019누43964판결(확정))

  크리덴셜 스터핑 공격을 받은 경우, 주로 개인정보 보호법 제29조(안전조치의무), 안전성 확보조치 기준(이하 ‘고시’) 제6조 제1항의 접근통제 의무 위반이 문제 됩니다. 

 이와 관련하여 법원은 해커가 크리덴셜 스터핑 공격으로 A사의 이용자 166,179명의 개인정보(타 사이트 계정 및 비밀번호)를 외부로 유출한 사안에서, 7개월에 걸친 비정상적인 로그인 시도를 탐지·차단하지 못한 행위를 고시 제6조 제1항 위반으로 판단하면서, 탐지·차단이 필요한 비정상적인 접근 시도에 관한 여러 가지 판단기준을 제시하였습니다. 

  법원은 이 사건에서 사전대입공격(크리덴셜 스터핑)은  특정 IP에서 다량의 아이디와 비빌번호를 가지고 과도하게 비정상적으로 접속 시도를 하므로, 평상시보다 로그인 시도와 실패 횟수가 증가하며, 한 개의 IP를 통한 로그인 시도가 사람이 시도하기 어려울 정도로 짧은 시간에 반복적으로 이루어지는 이상징후를 보인다고 하면서, 약 3개월 간 2억여건의 접속 시도 중 접속 실패 건수가 1억6천여건(약 81%)인 경우는 평상시 600만 건의 접속 시도 중 접속 실패 건수가 30만 건(약6%)인 것과 비교하여 접속 건수와 접속 성공률에 현저한 차이가 있어 정상적인 접속 시도로 보기 어렵다고 판단하였습니다. 

  또한, 특정 IP에서 초당 20여회 로그인 시도를 한 것은 사람이 할 수 없는 속도에 해당하여 이상징후로 의심해 볼 수 있으며, 특정 IP의 접속이 많거나 로그인 실패가 많은데 해당 IP가 VPN이라면 이상 징후로 의심해 볼 수 있다고 판시한 바 있습니다. 

★ 안전조치의무 등 개인정보 보호법 위반 관련 처분 사례

  개인정보보호위원회는 해당 판례에서 정립된 판단기준과 유사한 기준에 따라 안전성확보조치 기준 제6조 제1항 위반여부를 판단해 왔습니다. 그동안의 처분 사례들은 ①동일 IP의 시간당 접속 시도 건수, ②로그인 실패/성공률 등을 중요한 고려요소로 판단하였으며, ③공격이 없었던 평상시 대비 접속 시도 건수 등을 추가적인 요소로 고려하였습니다. 

  최근에는 해커가 B사의 웹사이트 로그인 페이지에 사전에 획득한 계정정보로 크리덴셜 스터핑 공격을 시도하여, 로그인에 성공한 이용자 계정으로 개인정보가 포함된 페이지를 열람한 사안에서, 10여개의 국내외 IP 주소에서 7일간 총 4천만회 로그인을 시도하여 10만건의 이용자 계정으로 접속하고, 동일 IP 주소에서 1초당 평균 90여회 로그인을 시도하였고, 평상시 대비 로그인 시도 건수가 1,000배 증가하였음에도 동일 IP 주소에서 대량의 반복적 로그인 시도를 방지하기 위한 침입 탐지·차단 관련 보안정책을 별도 적용·운영하지 않은 점을 접근통제 소홀로 판단하였습니다. 

  한편, 해커가 C사의 웹사이트에 크리덴셜 스터핑 공격으로 200만 회 로그인을 시도하여, 5만회 성공한 후 개인정보 페이지를 3만회 열람한 사안에서, C사가 사고 발생 이후에야 크리덴셜 스터핑 공격을 차단하는 정책을 적용하는 등 사고 발생 전까지 이용자 로그인 페이지를 대상으로 동일 IP 주소에서 대량으로 로그인을 시도하는 IP 주소 등을 탐지·차단하는 정책을 적절하게 운영하지 않아, 해커가 분당 평균 2천여회 로그인을 시도하였음에도 불구하고 운영중인 보안장비에서 탐지하지 못한 행위를 접근통제 위반으로 판단하였습니다.

  반면, 크리덴셜 스터핑 공격이 성공한 경우라도 로그인된 페이지 내 개인정보가 없거나 마스킹된 경우, 즉각적인 차단·탐지 조치로 공격을 차단한 경우, 예측이 불가능할 정도의 이례적인 공격패턴을 보이는 등의 경우에는 여러 사정을 종합 고려하여 법 위반이 아닌 것으로 판단하기도 하였습니다. 사전 입수한 계정정보로 접근을 시도하는 크리덴셜 스터핑 공격의 특성을 고려하여, 개인정보처리자가 할 수 있는 적절한 사전·사후 조치를 취한 경우, 법 위반 책임을 면하거나 감경하려는 처분기관의 의지를 반영한 것입니다. 

  예를 들어, D사의 경우 해커가 크리덴셜 스터핑 공격으로 1만5천여개 계정에 로그인 성공하였으나, 침입차단·탐지시스템을 적절히 운영하고 있었던 점, 로그인시 표시되는 이용자의 개인정보는 마스킹처리되어 있었으며, 이용자 개인정보 수정 시 본인확인(휴대폰번호, 아이핀) 절차를 통해 수정하도록 운영하여 개인정보 유출이 확인되지 않은 점 등을 고려하여 법 위반이 아닌 것으로 판단하기도 하였습니다. 

  또한, 최근 개인정보 유출로 처분을 받은 E사의 경우, 해커가 크리덴셜 스터핑 공격으로 총 500만회 로그인을 시도하여 9만명의 계정으로 로그인에는 성공하였으나, E사가 다수의 웹페이지 내 개인정보를 마스킹 등 처리하여 개인정보 유출 규모는 51명에 그쳤습니다. 이상의 사례들은 개인정보처리자의 적절한 사전 조치로 크리덴셜 스터핑 공격 피해를 최소화하고, 개인정보 유출의 책임도 그에 비례하여 부과된 사례로 볼 수 있습니다. 

★ 크리덴셜 스터핑 관련 개인정보 보호법 위반 판단 기준 

  개별 사건에서 기업 규모나 서비스 특성에 따라 접속시도 등의 임계값이 상이하므로, 비정상적 공격의 기준이나 탐지룰을 일률적으로 정하기는 어렵습니다. 따라서, 개인정보보호위원회는 동일 IP의 접속 시도 건수, 평상시 대비 총 접속 시도 건수와 로그인 성공률 등을 고려하되, 사건 별로 개인정보처리자 및 서비스의 특성, 개인정보의 유형, 공격 방법, 해킹 피해 방지를 위한 사전·사후 조치 등 종합적인 사정을 참작하여 개인정보 보호법 위반여부 및 과징금 부과 여부를 판단하게 됩니다.    

 이용자 개인정보를 대규모로 처리하는 기업이나 기관들은 급증하는 크리덴셜 공격에 대비하여, 자신의 서비스 특성, 이용패턴 등을 고려한 적정한 탐지·차단 시스템 정책을 수립·적용하고 모니터링하는 것이 필요하며, 그 외에도 개인정보 유출 방지를 위한 사전·사후 조치를 강화하는 것이 중요하겠습니다. 

개인정보보호위원회 조사2과 채리 사무관