개인정보보호위원회가 데이터베이스 명령어(SQL) 삽입 공격으로 회원들의 개인정보가 유출된 이젠·더존하우징·레저플러스에 총 1억 8300만 원의 과징금과 과태료를 부과했다.
개인정보위는 전일 제23회 전체회의를 열고 개인정보보호 법규를 위반한 3개 사업자에 대해 총 1억 7760만 원의 과징금, 540만 원의 과태료, 그리고 그 결과를 공표할 것을 의결했다고 21일 밝혔다.
이들 3개 사업자는 모두 SQL 삽입 공격으로 회원 정보가 유출됐다. 구체적으로 온라인 교육콘텐츠 서비스를 운영 중인 이젠은 2021년부터 지난해까지 홈페이지 대상 SQL 삽입 공격으로 회원 6만 9930명의 개인정보(성명·전화번호·이메일 등)가 유출되어 텔레그램에 게시됐다. 이중 3만 5454명은 암호화되지 않은 주민등록번호가 유출됐다. 조사결과, 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 한 사실이 있었다. 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인됐다. 이에 따라 개인정보위는 이젠에 과징금 6060만 원과 과태료 540만 원 부과 및 공표 명령을 내렸다.
개인정보위는 건축 설계 상담·문의 홈페이지 운영 중인 더존하우징에는 과징금 5580만 원 부과 및 공표 명령을 처분했다. 더존하우지응은 지난 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만 3879명의 개인정보(아이디·비밀번호·이름·전화번호 등)가 유출돼 텔레그램에 게시됐다. 조사결과, 더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인됐다. 회원 비밀번호에 대한 암호화 조치 미흡, 데이터베이스(DB) 접속기록 관리 소홀 등도 추가로 확인됐다.
골프장 예약 플랫폼 서비스를 운영 중인 레저플러스는 지난해 두 차례에 걸친 SQL 삽입 공격으로 회원 16만 807명의 개인정보(고객명·휴대폰번호·비밀번호 등)가 유출됐다. 조사결과, 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고 개인정보 유출 시도를 사전에 탐지하지 못한 것이 확인됐다. 또한, 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 확인됐다. 이에 따라 개인정보위는 과징금 6120만 원과 공표 명령을 부과했다.
개인정보위에 따르면 올해 개인정보위가 처분한 SQL 삽입 공격을 통한 유출 사건 7건의 평균 유출 규모는 약 21만 건에 달한다. 개인정보위 관계자는 “SQL 삽입 공격은 매우 잘 알려진 웹 취약점 공격 방식으로, 많은 정보가 저장된 DB가 직접 공격받는다는 점에서 대량의 개인정보 유출로 이어질 위험성이 높아 예방을 위한 사업자의 특별한 주의가 당부 된다”며 “이번 조사결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속적으로 안내할 계획”이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
