개인정보위, 대규모 유출 사업자 2곳에 14억원 과징금 부과

SQL 삽입 공격으로 42만명 정보 털려…재택근무 보안 허점 드러나

[한국정보기술신문] 개인정보보호위원회(위원장 고학수)가 개인정보 보호 법규를 위반한 2개 사업자에 총 14억 1,400만 원의 과징금과 270만 원의 과태료를 부과했다고 9일 발표했다. 이번 처분은 SQL 삽입 공격으로 인한 대규모 개인정보 유출 사고에 따른 것으로, 재택근무 확산에 따른 보안 취약점이 주요 원인으로 지목됐다.

의류업체 블랙야크, 34만명 정보 유출로 13억원 과징금

㈜비와이엔블랙야크는 올해 3월 1일부터 4일까지 해커의 SQL 삽입 공격을 받아 342,253명의 개인정보가 유출됐다. 해커는 회사가 운영하는 웹사이트의 취약점을 악용해 관리자 계정 정보를 탈취한 후, 이를 이용해 관리자 페이지에 접속했다.

유출된 개인정보에는 이용자들의 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부 등이 포함됐다. 개인정보위는 이 회사가 웹사이트 개설 이후 3년 반 동안 SQL 삽입 공격에 대한 점검과 조치를 소홀히 했다고 밝혔다.

특히 문제가 된 것은 재택근무 등을 위해 외부에서 관리자 페이지 접속을 허용하면서도 안전한 인증 수단을 적용하지 않은 점이다. 회사는 아이디와 비밀번호만으로 관리자 페이지 접근을 허용했으며, 다중 인증 등 추가적인 보안 조치를 취하지 않았다.

개인정보위는 이같은 보안 허점이 대규모 개인정보 유출로 이어졌다고 판단하고 ㈜비와이엔블랙야크에 과징금 13억 9,100만 원을 부과했다. 또한 처분 사실을 홈페이지에 공표하도록 명령했다.

교육업체도 8만명 정보 유출로 처분

㈜한국토픽교육센터도 지난해 3월 12일 SQL 삽입 공격을 받아 84,085명의 개인정보가 유출됐다. 해커는 탈취한 개인정보를 텔레그램에 공개하기까지 했다.

유출된 정보에는 아이디, 암호화된 비밀번호, 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등이 포함됐다. 회사는 SQL 삽입 공격 방지를 위한 취약점 점검과 조치를 제대로 하지 않았던 것으로 조사됐다.

한국토픽교육센터는 개인정보처리시스템에 대한 개인정보취급자의 접속 기록을 보관·관리하지 않는 등 기본적인 안전조치도 지키지 않았다. 더욱이 개인정보 유출을 인지하고도 정당한 사유 없이 72시간을 넘겨서야 유출 통지를 했다.

개인정보위는 이 회사에 과징금 2,300만 원과 과태료 270만 원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다. 총 2,570만 원의 금전적 처분을 받게 된 것이다.

SQL 삽입 공격, 여전히 위험한 해킹 수법

SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 데이터베이스 명령어를 실행시키는 공격 기법이다. 널리 알려진 기본적인 해킹 수법임에도 불구하고 여전히 많은 기업들이 이에 대한 대비책을 제대로 마련하지 않고 있다.

개인정보위는 이번 사건들이 모두 SQL 삽입 공격으로 발생했다는 점에서 기업들의 보안 의식 개선이 시급하다고 강조했다. 특히 웹 취약점에 대한 지속적인 점검과 조치가 필요하다고 당부했다.

디지털 전환 시대, 다중 인증 필수

디지털 전환 가속화로 재택근무가 늘어나면서 외부 접속을 허용하는 사례가 크게 증가하고 있다. 개인정보위는 이런 환경에서는 아이디와 비밀번호 외에 안전한 추가 인증 수단 적용이 어느 때보다 중요해졌다고 강조했다.

권한 있는 사용자인지를 정확히 판별하기 위해서는 다중 인증, 생체 인증 등 보다 강화된 인증 시스템 도입이 필요하다는 것이다. 특히 관리자급 계정에 대해서는 더욱 엄격한 보안 조치가 요구된다.

개인정보위는 이번 조치가 개인정보 보호에 소홀한 기업들에 대한 경고 메시지라고 밝혔다. 개인정보 유출 사고는 기업의 신뢰도 하락과 막대한 경제적 손실로 이어질 수 있다는 점에서 예방이 무엇보다 중요하다.

기업들은 웹 취약점 점검을 정기적으로 실시하고, 보안 시스템을 지속적으로 업데이트해야 한다. 또한 직원들에 대한 보안 교육을 강화하고, 개인정보 처리 과정에서의 안전조치를 철저히 준수해야 한다는 것이 전문가들의 조언이다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org