정안뉴스 안정주 기자 | 개인정보보호위원회는 7월 9일에 제15회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크와 ㈜한국토픽교육센터에 총 14억 1,400만 원의 과징금 및 270만 원의 과태료를 부과하고, 공표 명령을 하기로 의결했다.
이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.
해커는 2025년 3월 1일 ~ 3월 4일 동안 ㈜비와이엔블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도하여 관리자 계정 정보(아이디, 비밀번호)를 탈취했다. 이후 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후 이용자 342,253명의 개인정보를 내려받아 탈취했다.
개인정보위 조사 결과, ㈜비와이엔블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 했으며, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인됐다.
이에 따라 개인정보위는 ㈜비와이엔블랙야크에 과징금 13억 9,100만 원과 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
해커는 2024년 3월 12일 ㈜한국토픽교육센터가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도하여 데이터베이스(DB) 내 이용자 84,085명(중복 포함)의 개인정보를 탈취 후 텔레그램에 공개했다.
개인정보위 조사 결과, ㈜한국토픽교육센터는 운영 중인 웹사이트에 에스큐엘(SQL) 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 했으며, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않은 사실이 확인됐다. 아울러, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과하여 유출 통지한 사실도 확인됐다.
이에 따라 개인정보위는 ㈜한국토픽교육센터에 과징금 2,300만 원 및 과태료 270만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디/비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다. 또한, 에스큐엘(SQL) 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다.