개인정보위, 안전조치 의무 위반 2개 사업자에 14억 1,400만 원 과징금·과태료 부과

- 재택근무 등 외부 접속 허용시, 안전한 인증수단(아이디/비밀번호 외 다중인증 등) 적용, 에스큐엘(SQL) 삽입 공격 방지를 위한 웹 취약점 지속 점검 등 보안 강화 당부

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 7월 9일(수)에 제15회 전체회의를 열고, 개인정보 보호 법규를 위반한 ㈜비와이엔블랙야크와 ㈜한국토픽교육센터*에 총 14억 1,400만 원의 과징금 및 270만 원의 과태료를 부과하고, 공표 명령을 하기로 의결하였다.

   * ㈜비와이엔블랙야크 : 의류 용품 등 제조·판매 서비스 운영㈜한국토픽교육센터 : 온라인 교육 콘텐츠 서비스 운영

  이들 2개 사업자의 구체적인 위반 내용과 처분 결과는 다음과 같다.

  < ㈜비와이엔블랙야크 : 과징금 13억 9,100만 원 부과, 공표 명령 >

  해커는 '25. 3. 1. ~ 3. 4. 동안 ㈜비와이엔블랙야크가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격*을 시도하여 관리자 계정 정보(아이디, 비밀번호)를 탈취하였다. 이후 해커는 탈취한 계정 정보로 관리자 페이지에 로그인 후 이용자 342,253명의 개인정보**를 내려받아 탈취하였다.

   * 에스큐엘(SQL, Structured Query Language) 삽입 공격 : 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법

 ** 이름, 성별, 생년월일, 휴대폰 번호, 주소 일부(동·호수 등)

  개인정보위 조사 결과, ㈜비와이엔블랙야크는 웹사이트를 개설한 '21. 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 하였으며, 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단을 적용하지 않은 사실이 확인되었다.

  < 개인정보 유출사고 개요 >

  이에 따라 개인정보위는 ㈜비와이엔블랙야크에 과징금 13억 9,100만 원과 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

  < ㈜한국토픽교육센터 : 과징금 2,300만 원 및 과태료 270만 원 부과, 공표 명령 >

  해커는 '24. 3. 12. ㈜한국토픽교육센터가 운영하는 웹사이트에 에스큐엘(SQL) 삽입 공격을 시도하여 데이터베이스(DB) 내 이용자 84,085명(중복 포함)의 개인정보*를 탈취 후 텔레그램에 공개하였다.

   * 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, 연락처, 휴대폰 번호, 이메일, 주소 등이며, 유출 항목별 유출 건수는 상이함

  개인정보위 조사 결과, ㈜한국토픽교육센터는 운영 중인 웹사이트에 에스큐엘(SQL) 삽입 공격을 방지하기 위한 취약점 점검 및 조치를 소홀히 하였으며, 개인정보처리시스템에 대한 개인정보취급자의 접속기록을 보관·관리하지 않은 사실이 확인되었다. 아울러, 개인정보 유출을 인지하고 정당한 사유 없이 72시간을 경과하여 유출 통지한 사실도 확인되었다.

  이에 따라 개인정보위는 ㈜한국토픽교육센터에 과징금 2,300만 원 및 과태료 270만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다.

  < 이번 조사·처분의 의의 >

  디지털 전환 가속화로 재택근무 등이 많아지며 외부접속을 허용하는 사례가 크게 늘고 있어, 권한 있는 사용자인지를 판별하기 위해서는 아이디/비밀번호 외 안전한 추가적 인증수단의 적용이 어느 때보다 중요해졌다. 또한, 에스큐엘(SQL) 삽입 공격은 널리 알려진 기본적인 해킹 수법임에도 이를 예방하기 위한 보안조치가 소홀할 경우 대규모 개인정보 유출 사고로 이어질 수 있는 만큼 개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 지한구(02-2100-3123), 허재형(02-2100-3129)