개보위 '개인정보 유출' 이젠·더존하우징·레저플러스 1.7억 과징금

(서울=뉴스1) 이기림 기자 = 다량의 개인정보 탈취가 가능한 SQL 삽입 공격으로 개인정보가 유출된 3개 사업자가 총 1억 7760만 원의 과징금과 540만 원의 과태료를 부과받았다.

SQL 삽입 공격은 웹사이트 취약점을 이용해 악의적인 SQL(데이터베이스 명령어)문을 실행되게 해 데이터베이스(DB)를 비정상적으로 조작하는 공격 기법이다.

개인정보보호위원회는 지난 20일 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 이같은 제재를 의결했다고 21일 밝혔다.

우선 온라인 교육콘텐츠 서비스를 운영하는 '이젠'은 2021년 8월부터 2024년 8월까지 3년간 홈페이지 대상 SQL 삽입 공격으로 회원 6만 9930명의 개인정보가 유출돼 텔레그램에 게시됐고, 이 중 3만 5454명은 암호화되지 않은 주민등록번호가 유출됐다.

조사결과 이젠은 SQL 삽입 공격에 대한 취약점 점검·조치 및 개인정보 유출 시도 탐지·차단을 소홀히 했고, 주민등록번호 암호화 조치 미흡, 개인정보 유출통지 및 신고를 지연한 사실도 확인됐다.

건축 전문 업체로 건축 설계 상담·문의 홈페이지를 운영하는 '더존하우징'은 2023년 12월 해커의 SQL 삽입 공격으로 회원 3만 3879명의 개인정보가 유출돼 텔레그램에 게시됐다.

조사결과 더존하우징은 SQL 삽입 공격을 사전에 탐지·차단하는 시스템을 운영하지 않고 취약점에 대한 점검·조치를 미흡하게 했으며, 회원 비밀번호에 대한 암호화 조치 미흡, DB 접속기록 관리 소홀 등도 추가로 확인됐다.

골프장 예약 플랫폼 서비스를 운영하는 '레저플러스'는 2024년 9월, 10월 두 차례에 걸친 SQL 삽입 공격으로 회원 16만 807명의 개인정보가 유출됐다.

조사결과 레저플러스는 SQL 삽입 공격 취약점 관리를 소홀히 했고, 개인정보 유출 시도를 사전에 탐지하지 못한 것이 확인됐다. 회원 비밀번호에 대한 암호화 조치가 미흡했던 것으로 드러났다.

개인정보위는 이번 조사 결과를 바탕으로 사업자 대상 SQL 삽입 공격 예방 수칙을 마련·제공하고, 자체적으로 점검할 수 있도록 지속해서 안내할 계획이다.

lgirim@news1.kr