지난해 16만명이 넘는 고객 개인정보 유출로 물의를 빚은 소프트웨어업체 이스트소프트에 과징금 1억1200만원과 과태료 1000만원이 부과됐다.

방송통신위원회는 28일 전체회의를 열고 이같은 내용을 포함한 행정처분을 심의·의결했다. 

방통위는 개인정보 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직·간접적으로 악용됐고 피해규모가 큰 데다 유출된 개인정보를 활용한 대포폰 개설, 서버 임대 등 추가 피해가 확인된 점 등을 종합적으로 고려해 이같이 결정했다.

방통위에 따르면 지난해 2월 9일부터 9월 25일까지 이스트소프트의 아이디·비밀번호 통합관리 서비스 '알패스' 이용자 16만6179명의 외부 사이트 주소, 아이디, 비밀번호 2546만1263건이 해커에게 유출됐다. 이용자 한명당 150여건의 정보가 유출된 셈이다.

해커는 이스트소프트의 알툴바 서비스에 접속하면 이용자가 저장한 알패스 정보를 열람할 수 있다는 점을 알고, 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 자체 제작한 해킹프로그램(Alpass 3.0.exe)을 이용해 사전대입 공격을 한 것으로 확인됐다.

사전대입 공격은 자동 프로그램을 통해 사전에 확보한 아이디와 비밀번호를 하나씩 대입해 보는 해킹 방식이다.

해커는 빼돌린 알패스 등록정보로 이용자가 가입한 포털 사이트에 접속, 이용자가 저장한 주민등록증·신용카드·사진을 확보한 뒤 가상화폐 거래소에서 가상화폐를 출금한 것으로 나타났다. 해커는 지난해 12월 경찰에 검거됐다.

조사 과정에서 이스트소프트는 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않았고, 필요한 보안대책과 개선조치를 취하지 않는 등 정보통신망 이용촉진과 정보보호 등에 관한 법률을 위반한 것으로 드러났다.