개보위 '개인정보 유출사고' NHN커머스 과징금·과태료

(서울=뉴스1) 이기림 기자 = 개인정보 보호 법규를 위반한 엔에이치엔(NHN)커머스가 과징금 870만 원, 과태료 450만 원 및 공표명령을 부과받았다.

개인정보보호위원회는 지난 28일 정부서울청사에서 제2회 전체회의를 열고 이같이 의결했다고 29일 밝혔다.

NHN커머스는 쇼핑몰 구축을 원하는 이용사업자들에게 SaaS방식의 'e나무' 설루션을 제공하고 있었다. SaaS방식은 소프트웨어를 서버 등에 설치하지 않고 인터넷을 통해 클라우드 형태로 제공하는 방식이다.

그러던 2024년 9월쯤 해당 설루션의 장바구니 관련 웹페이지에서 SQL 인젝션 공격으로 17개 이용사업자 홈페이지에서 총 122건의 주문자 개인정보가 유출되는 사고가 발생했다. 유출된 개인정보에는 주문자의 이름, 전화번호, 주소, 상품명, 결제금액 등이 담겼다.

문제가 된 설루션은 서비스를 개시한 지 10여 년이 지난 구형 설루션으로, 기술지원 및 보안관리가 제대로 이뤄지지 않고 있었다.

대부분 이용사업자는 차세대 설루션으로 이전했으나, 소수의 영세 이용사업자가 홈페이지 이전·재구축을 하지 못한 상황에서 사고가 발생했다.

NHN커머스는 웹페이지의 개발주체 및 서버 운영 주체로서 SQL 인젝션 공격의 발생 사실과 유출된 개인정보의 범위·내용을 즉시 확인하고 개인정보위에 대한 유출 신고를 72시간 내 완료했다. 다만 이용사업자들에게 일회성으로 이메일·전화를 발송했을 뿐, 통지가 제대로 도달했는지를 확인하지 않았다.

NHN커머스는 상황을 인식하지 못한 일부 이용사업자가 있음을 인지했고, 개인정보가 유출된 정보주체의 연락처를 알았지만 직접 유출통지를 하는 등의 후속 조처를 하지 않았다. 결국 정보주체에 대한 유출 통지가 72시간 내 이뤄지지 않은 결과를 초래했다.

개인정보위는 NHN커머스가 SQL 인젝션 공격을 막기 위해 요구되는 안전조치를 불이행한 부분에 대해 과징금 870만 원을, 정보주체에 대해 유출통지를 완료하지 못한 부분에 대해 과태료 450만 원을 각각 부과하고, 행정처분을 받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

특히 구형 e나무 설루션의 낮은 이용률, 전담 조직 해체 상황, 과거 유사 해킹 전력 등을 고려할 때 향후 안전성 확보 조치 이행을 객관적으로 기대하기 어렵다고 판단했다.

이에 e나무 설루션의 기존 이용사업자 중 웹사이트를 계속 운영하려는 자에게는 대체 설루션을 제공하고 해당 이용사업자의 웹사이트 이관 작업을 지원할 것을 개선 권고했다.

lgirim@news1.kr