'개인정보 유출' 블랙야크 등 2곳 과징금 총 14억1400만원

개인정보위, 제15회 전체회의 의결
"SQL 삽입 공격 취약점 점검 소홀"

개인정보보호위원회는 안전조치 의무를 위반한 BYN블랙야크, 한국토픽교육센터에 총 14억1400만원의 과징금과 270만원의 과태료를 부과한다고 10일 밝혔다.

의류 용품 등을 제조·판매하는 BYN블랙야크는 웹사이트를 개설한 2021년 10월부터 에스큐엘(SQL) 삽입 공격 취약점에 대한 점검·조치를 소홀히 한 것으로 확인됐다. 재택근무 등의 사유로 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 아이디, 비밀번호 외 안전한 인증수단도 적용하지 않았다.

이에 BYN블랙야크는 13억9100만원의 과징금을 물게 됐다. 처분 사실은 운영 중인 홈페이지에 공표한다.

앞서 BYN블랙야크는 지난 3월 해커의 웹사이트 SQL 삽입 공격에 관리자 계정 정보와 이용자 34만2253명의 개인정보(이름, 성별, 주소 일부 등)를 털렸다. SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 데이터베이스(DB) 명령어를 실행하고 조작하는 공격 기법을 말한다.

한국토픽교육센터도 지난해 3월 해커의 SQL 삽입 공격에 웹사이트가 뚫리면서 과징금 2300만원과 과태료 270만원의 처분을 받았다. 당시 해커는 DB 내 이용자 8만4085명(중복 포함)의 아이디, 비밀번호(암호화), 이름, 성별, 휴대폰 번호 등 개인정보를 탈취해 텔레그램에 공개했다.

개인정보위 조사 결과 한국토픽교육센터는 SQL 삽입 공격을 방지하기 위한 점검·조치에 소홀했고, 개인정보처리시스템 취급자의 접속 기록을 보관·관리하지 않았다. 개인정보 유출 사실도 정당한 사유 없이 인지 후 72시간이 지나 통지했다.

개인정보위 관계자는 "재택근무 등으로 외부 접속을 허용하는 사례가 증가해 권한 있는 사용자인지를 판별하기 위한 추가 인증수단 적용이 어느 때보다 중요해졌다"며 "개인정보처리자는 웹 취약점 점검 등 보안대책을 강화하는 등 각별한 주의가 필요하다"고 말했다.

노경조 기자 felizkj@asiae.co.kr