작년 해킹 공격에 회원정보 털려…개인정보위 "안전조치 의무 위반"

(서울=연합뉴스) 고학수 개인정보보호위원회 위원장이 지난 25일 오전 서울 종로구 정부서울청사에서 열린 '2024년 제16회 개인정보보호위원회 전체회의'에서 의사봉을 두드리고 있다. 2024.9.26 [개인정보보호위원회 제공. 재판매 및 DB 금지] photo@yna.co.kr

(서울=연합뉴스) 양정우 기자 = 개인정보보호위원회는 23일 전체회의를 열고 개인정보보호 법규를 위반한 온라인 쇼핑몰 네오팜과 일학 등 2곳에 대해 과징금 총 1억 2천317만원과 과태료 1천80만원을 부과하기로 의결했다고 24일 밝혔다.

개인정보위에 따르면 화장품 등을 판매하는 온라인 쇼핑몰인 네오팜에선 지난해 해커가 쇼핑몰 관리자 계정을 사전에 획득한 뒤 웹 관리자 페이지에 접속해 쇼핑몰 전체 회원의 개인정보를 빼냈다.

해커는 작년 8월 5일부터 약 2주간 쇼핑몰 웹 관리자 페이지에 750차례 접근해 29만여 명 회원 정보를 조회하고 내려받았고, 약 44만 건의 불법 문자도 발송했다.

개인정보위는 이같은 대규모 유출 사고가 발생한 이유로 네오팜의 개인정보 처리시스템인 웹 관리자 페이지가 추가 인증수단 없이 아이디와 비밀번호만으로 로그인이 가능하게 운영되고 있던 점을 꼽았다.

특히 웹 관리자 페이지에 접속할 수 있는 아이피(IP) 주소 등을 제한하지 않는 등 안전조치 의무를 위반한 것으로 파악했다.

네오팜이 개인정보 취급자별로 계정을 부여하지 않고 부서별로 계정을 공유하는 등 접근 권한에 대한 관리도 소홀했고, 유출된 이용자를 대상으로 개인정보 유출 통지를 지연한 사실도 확인했다.

개인정보위는 네오팜에 과징금 1억517만원과 과태료 720만원을 부과하고, 개인정보위 홈페이지에 그 결과를 공표하기로 했다.

[강민지 제작] 일러스트

낚시용품 쇼핑몰인 일학은 2023년 12월 17일부터 이틀간 해커의 SQL(데이터베이스 조회 등에 사용하는 프로그램 언어) 삽입 공격을 받아 개인정보가 유출됐다. 개인정보를 유출한 해커는 일학의 쇼핑몰 게시판에 1만명의 개인정보를 게시하기도 했다.

SQL 삽입 공격은 해커가 웹사이트 취약점을 이용해 악의적인 SQL 명령어를 실행하게 해 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다.

조사 결과 일학은 웹관리자 페이지에 로그인 시 안전한 인증수단을 적용하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 침입 탐지·차단 시스템도 부실하게 운영했던 것으로 확인됐다.

SQL 삽입 공격을 예방하기 위한 이용자 입력값 검증 절차 부재, 비밀번호 암호화 미조치 등의 안전조치 의무 위반도 파악됐다.

개인정보위는 일학에 과징금 1천800만원과 과태료 360만원을 부과하고, 사업자 홈페이지에 그 사실을 공표하도록 명령했다.

개인정보위는 웹사이트를 통해 서비스를 제공하고 개인정보를 처리하는 사업자는 회원 데이터베이스와 연동된 웹 관리자 페이지 운영 시 개인정보 취급자 계정 관리, 보안 취약점에 대한 점검 등을 주기적으로 실시해야 한다고 강조했다.

이어 SQL 삽입 공격처럼 잘 알려진 웹 취약점 공격에 대해서는 적절한 보안 조치 등 지속적인 주의가 필요하다고 당부했다.

eddie@yna.co.kr