[엠투데이 이상원기자] 개인정보보호위원회가 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크와 ㈜한국토픽교육센터에 총 14억1,400만 원의 과징금 및 270만 원의 과태료를 부과키로 했다.
비와이엔블랙야크는 의류 용품 등 제조. 판매 서비스를, 한국토픽교육센터는 온라인 교육 콘텐츠 서비스를 제공하는 업체다.
과징금 13억9,100만 원을 부과받은 비와이엔블랙야크는 해커가 지난 3월 1일부터 4일까지 해당업체가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도, 관리자 계정 정보를 탈취, 계정 정보로 관리자 페이지에 로그인 한 후 이용자 34만2,253명의 개인정보를 내려받았다.
에스큐엘(SQL)은 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 해 데이터베이스를 비정상적으로 조작하는 공격 기법으로 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등)를 탈취했다.
개인정보위 조사 결과, 비와이엔블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했으며, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인됐다고 밝혔다.
과징금 2,300만 원 및 과태료 270만 원을 부과받은 한국토픽교육센터는 해커가 2024년 3월 12일 해당업체가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도, 데이터베이스(DB) 내 이용자 8만4,085명(중복 포함)의 개인정보를 탈취 후 텔레그램에 공개했다.
유출 개인정보에는 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등이 포함돼 있다.
개인정보위 조사 결과, 한국토픽교육센터는 운영 중인 웹사이트에 에스큐엘(SQL) 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했으며, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않은 사실이 확인됐다. 또, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과, 유출 통지한 사실도 확인됐다.
개인정보위는 디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디. 비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌고 에스큐엘(SQL) 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다고 지적했다.
Copyright ⓒ M투데이 무단 전재 및 재배포 금지
