개인정보보호위원회(이하 개인정보위)는 20일 제23회 전체회의에서 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억7760만원의 과징금, 540만원의 과태료를 부과하고 그 결과를 공표할 것을 의결했다고 21일 밝혔다.
이번 제재 대상에는 온라인 교육콘텐츠 업체 '이젠', 건축 상담 홈페이지를 운영하는 '더존하우징', 골프장 예약 플랫폼 '레저플러스' 3곳이 포함됐다. 이들 기업은 모두 'SQL 삽입 공격(SQL Injection)'으로 고객 정보가 텔레그램 등 외부에 유출되는 피해를 입었다.
SQL 삽입은 웹사이트 취약점을 노려 악성 SQL 명령을 주입하고 데이터베이스를 직접 조작하는 공격 방식으로, 한 번 뚫릴 경우 대량의 개인정보가 순식간에 탈취될 수 있는 웹 취약점이다.
개인정보위는 이들 기업에 대한 구체적인 위반 내용과 처분 결과를 발표했다.
'이젠'에 대해 과징금 6060만원과 과태료 540만원을 부과하고 공표 명령을 내렸다. 개인정보위 조사결과 지난 2021년 8월부터 3년간 홈페이지 대상 SQL 삽입 공격이 있었다. 회원 총 6만9930명의 개인정보(성명, 전화번호, 이메일 등)가 유출됐으며 이중 3만5454명은 주민등록번호가 유출됐다.
또한 SQL 삽입 공격에 대한 취약점 점검·조치와 개인정보 유출 시도 탐지 및 차단을 소홀히 했다. 주민등록번호 암호화 조치 미흡, 개인정보 유출통지와 신고를 지연한 사실도 확인됐다.
'더존하우징'에 대해 과징금 5580만원 부과 및 공표 명령을 내렸다. 조사결과, 지난 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만3879명의 개인정보(아이디, 비밀번호, 이름, 전화번호 등)가 유출되어 텔레그램에 게시됐다.
공격을 사전에 탐지·차단하는 시스템을 운영하지 않았다. 취약점에 대한 점검·조치를 미흡하게 한 사실이 확인됐으며 회원 비밀번호에 대한 암호화 조치가 미흡하고 데이터베이스(DB) 접속기록 관리에 대한 소홀히 한 점도 추가로 확인됐다.
'레저플러스'에 대해서는 과징금 6120만원 부과 및 공표 명령을 내렸다. 지난 2024년 9월과 10월, 두 차례에 걸친 SQL 삽입 공격으로 회원 16만807명의 개인정보(고객명, 휴대폰번호, 비밀번호 등)가 유출된 바 있다.
조사 결과, SQL 삽입 공격 취약점 관리 소홀과 개인정보 유출 시도를 사전에 탐지하지 못한 것이 확인됐다. 회원 비밀번호에 대한 암호화 조치가 미흡했던 것 또한 확인됐다.
개인정보위는 이번 사건을 계기로 사업자들이 스스로 점검할 수 있는 SQL 삽입 공격 예방 수칙을 마련해 배포하고, 관련 안내를 지속적으로 강화할 계획이라고 밝혔다.
실제로 올해 개인정보위가 처분한 SQL 삽입 공격 사례는 총 7건으로, 평균 유출 규모가 약 21만건에 달한다. / 월요신문=김승화 기자