개인정보위, 안전조치 의무 위반한 2개 사업자 제재

에스큐엘(SQL) 인젝션 공격 대비 위해 입력값 검증

[사진=개인정보위]

개인정보보호위원회는 지난 26일 제4회 전체회의를 열고, 개인정보보호 법규를 위반한 2개 사업자(비즈니스온커뮤니케이션·NHN위투)에 대해 총 1억9810만원의 과징금 및 1230만 원의 과태료를 부과하기로 의결했다고 27일 밝혔다. 

조사 결과, 비즈니스온커뮤니케이션은 에스큐엘(SQL) 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고, 외부로부터 불법적인 접근을 방지하기 위한 시스템 접속권한을 아이피(IP) 주소 등으로 제한하지 않아 개인정보가 유출된 것으로 밝혀졌다. 유출신고를 지연한 사실도 확인했다.

이에 개인정보위는 비즈니스온커뮤니케이션에 과징금 1억3700만원과 과태료 270만원을 부과했다. 또 법령 준수와 재발방지를 위한 대책을 수립‧이행하도록 시정명령하는 한편, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.

NHN위투는 자사가 운영 중인 패션 분야 오픈마켓인 ‘가방팝’ 쇼핑몰에 입점한 판매자를 위한 ‘판매자시스템’이 해커의 SQL 인젝션 공격을 받았고, 이로 인해 해당 시스템에서 보유한 53만4903건의 판매자 및 고객의 개인정보가 유출됐다. 유출된 정보에는 회원의 주민등록번호도 포함된 것으로 확인됐다.

조사 결과, NHN위투는 2022년 7월 시스템을 개편하면서 과거 거래내역 조회 및 고객응대 등을 위해 기존 판매자시스템도 함께 계속 운영했는데, 이 기존 시스템에 SQL 인젝션 공격을 예방하기 위한 입력값 방어 조치를 하지 않았고 웹방화벽을 비활성화한 상태로 운영하여 개인정보가 유출됐다.

더욱이 지난 2013년 2월 기존 판매자시스템의 구 데이터베이스(DB)를 현행 데이터베이스(DB)로 이관하면서 개인정보 처리 목적이 달성된 구 DB를 파기하지 않았는데, 여기에는 법상 파기 대상인 주민등록번호가 계속 보관돼 있었던 사실도 확인했다.

이에 개인정보위는 NHN위투에 과징금 6110만원과 과태료 960만원을 부과하고, 사업자 홈페이지에 처분받은 사실을 공표하도록 명령했다.